КиберСек

Новости Кибербезопасности

Автор: kibersec

  • Прецизионный 3D-сканер: пробиваясь сквозь километры тумана

    Прецизионный 3D-сканер: пробиваясь сквозь километры тумана

    Ученые из университета Хериот-Ватт научились сканировать объекты на большом расстоянии и получать их трехмерные изображения даже сквозь туман и дым. Они использовали новый метод, основанный на регистрации одиночных фотонов и измерении времени их полета.

    Основной частью системы стал сверхпроводящий нанопроволочный детектор, созданный в сотрудничестве с MIT и NASA. Он может различать отдельные фотоны, что позволяет использовать слабые лазеры безопасно для глаз и сканировать объекты на больших расстояниях.

    Скорость измерений нового детектора вдвое выше, чем у других аналогичных устройств. Физики провели испытания на различных расстояниях и смогли создать трехмерные изображения объектов с удивительной точностью.

    Теперь ученые планируют увеличить дальность сканирования до 10 километров и провести эксперименты в условиях тумана и дыма. Эта разработка поможет отслеживать состояние зданий и других конструкций, выявлять опасные изменения во времени.

  • Искусственный интеллект может забрать власть у людей

    Искусственный интеллект может забрать власть у людей

    Исследователи из университетов в Праге и Telic Research предупреждают, что искусственный интеллект может постепенно отнять у людей контроль над важными системами общества. Они называют это новым риском — постепенное лишение власти, который может привести к серьезным проблемам.

    Улучшения в области искусственного интеллекта могут постепенно уменьшить влияние человека на экономику, культуру и государственные институты. Этот процесс развивается медленно, постепенно заменяя человеческий труд и принятие решений системами на базе ИИ. Это делает слабее как явные формы контроля (например, выборы и потребительский спрос), так и неявное соответствие ИИ интересам людей.

    Чем больше мы зависим от искусственного интеллекта, тем меньше мы можем влиять на процессы в обществе. Например, если ИИ управляет экономикой, он может оптимизировать ее без учета интересов большинства людей. Это может привести к потере контроля над ключевыми аспектами нашей жизни.

    Исследователи предлагают несколько стратегий, которые помогут предотвратить потерю контроля над социальными системами:

    Проблема заключается не только в предотвращении агрессивного поведения ИИ, но и в сохранении возможности человека управлять важными общественными процессами. Без понимания того, как сохранить влияние людей в мире, где все больше управляют алгоритмы, мы рискуем потерять контроль над ситуацией.

  • Отгрузки Positive Technologies выросли до 26 млрд в 2024

    Отгрузки Positive Technologies выросли до 26 млрд в 2024

    По последним данным управления, Positive Technologies в 2024 году продала товаров на сумму около 26 миллиардов рублей. Оплаченные заказы составили 25,5 миллиардов рублей. Окончательные результаты будут известны после 31 марта 2025 года.

    Финансовые показатели оказались ниже ожидаемых из-за изменений в денежно-кредитной политике, что снизило возможности клиентов. Positive Technologies представила новый продукт PT NGFW (Next Generation Firewall) после двух лет разработки. В 2024 году также были запущены более 300 пилотных проектов, которые будут завершены в 2025 году.

    Компания также представила решение PT Dephaze для защиты данных и PT Data Security. Было запущено новое направление метапродуктов: MaxPatrol Carbon для проверки кибербезопасности и PT Knockin для проверки электронной почты.

    Аудированные финансовые отчеты за 2024 год будут опубликованы в начале апреля и будут включать оплаченные до 31 марта 2025 года заказы.

  • Ключи ASP.NET стали инструментом для вредоносных атак

    Ключи ASP.NET стали инструментом для вредоносных атак

    В конце прошлого года специалисты из компании Microsoft обнаружили серию атак, при которых злоумышленники использовали статические ключи ASP.NET для инъекции кода. В одном случае им удалось внедрить инструмент постэксплуатации Godzilla на сервер IIS.

    Удивительно, что ключи validationKey и decryptionKey, которые защищают данные ViewState от изменений и утечки, не были украдены или куплены в интернете. Их можно легко найти онлайн, и исследователи нашли более 3 тыс. таких случаев.

    Обычно ключи ASP.NET генерируются на месте и хранятся в реестре или указываются в конфигурационных файлах. Однако некоторые разработчики веб-приложений используют готовые ключи из открытых источников, не меняя их.

    Это делает задачу злоумышленникам гораздо проще. Если у них есть ключи для ViewState, они могут успешно отправить вредоносный запрос на сервер, и вредоносный код будет выполнен.

    Эксперты рекомендуют разработчикам использовать уникальные и защищенные ключи, а не публиковать их в открытых источниках. Это может предоставить злоумышленникам несанкционированный доступ к системе.

    Подобные атаки уже были проведены несколько лет назад на серверы Microsoft Exchange. Злоумышленники использовали ошибку в разработке, когда все серверы Exchange использовали одни и те же ключи, указанные в web.config.

  • Техники обхода EDR через аппаратные точки останова

    Техники обхода EDR через аппаратные точки останова

    Современные решения для обнаружения и реагирования на угрозы (EDR) часто используют технологию Event Tracing for Windows (ETW), чтобы выявлять вредоносную деятельность без негативного влияния на работоспособность системы. Однако злоумышленники по-прежнему находят способы обойти эти системы и оставаться незамеченными. Они могут использовать аппаратные точки останова на уровне процессора, чтобы перехватывать функции и изменять телеметрию в пользовательском режиме, избегая прямого вмешательства в ядро. Это создает проблемы для традиционных методов защиты.

    Защита Kernel Patch Protection (PatchGuard) мешает EDR-решениям перехватывать таблицу дескрипторов системных служб (SSDT) для проверки вызовов функций. Поэтому поставщик ETW Threat Intelligence становится важным ресурсом, предоставляя данные о действиях, таких как выделение памяти, управление потоками, асинхронные вызовы процедур (APC) и другие, с точки зрения ядра.

    Злоумышленники могут использовать аппаратные точки останова для изменения работы Windows и скрытия своей деятельности от обнаружения AMSI и ETW. EDR-решения в свою очередь используют поставщиков Threat Intelligence для создания методов обнаружения злоупотреблений аппаратными точками останова.

    В этой статье мы рассмотрим, какие действия вызывают события ETW, используя отладчик ядра, и как можно настроить аппаратные точки останова для перехвата функций без создания событий ETW TI.

    Поставщик ETW Threat Intelligence регистрирует события, связанные с безопасностью в ядре. Мы можем определить, какие функции ядра вызывают эти события, изучив символы, начинающиеся с EtwTiLog, в отладчике ядра WinDbg. Мы сосредоточимся на интересующих нас событиях и не будем рассматривать другие.

    Аппаратные точки останова работают на уровне процессора и требуют привилегий на уровне ядра. Для установки их значения требуется уровень привилегий 0. Обычные приложения пользовательского режима не могут напрямую манипулировать регистрами отладки и должны использовать интерфейс Native API для выполнения привилегированных операций.

    Мы рассмотрели, как можно установить аппаратные точки останова, избегая создания событий ETW, которые могут быть использованы для обнаружения таких действий. Например, функция NtContinue позволяет обновлять контекст потока, включая регистры отладки, без вызова EtwTiLogSetContextThread в ядре. Это позволяет скрыто устанавливать аппаратные точки останова и избегать обнаружения EDR, которые полагаются на события SetThreadContext.

    Этот метод позволяет злоумышленникам уклоняться от обнаружения и продолжать свою деятельность в обход защитных механизмов. Разработчики EDR должны быть внимательны к таким методам и находить способы защиты от таких угроз.

  • Бизнес игнорирует угрозы кибербезопасности из-за экономии

    Бизнес игнорирует угрозы кибербезопасности из-за экономии

    Бизнес сокращает расходы на кибербезопасность из-за дорогого заемного финансирования. Это связано с ростом кибератак. Компании и госструктуры все чаще обращаются к аутсорсингу. Высокая ставка Банка России делает заемные средства дорогими. Рынок кибербезопасности замедляется, но продолжит расти. Цены на кибербезопасность высоки, а эффект от них проявляется долго. Бизнес выбирает быстрые проекты, но уровень защиты остается низким. Многие компании не выполнили требования законодательства по импортозамещению. Фокус смещается с реальных задач на выполнение требований. Импортозамещение снижает зависимость от зарубежных решений, но не решает проблему киберугроз. В ближайшем будущем бизнес снова начнет обращать внимание на кибербезопасность.

  • StarkRDP превратился в LakeVPS: рост подпольных рынков

    StarkRDP превратился в LakeVPS: рост подпольных рынков

    Операция «Талант», проведенная недавно Европолом совместно с правоохранительными органами нескольких стран, стала ударом по киберпреступному сообществу. Она привела к закрытию многих подпольных сайтов, где продавали доступ к зараженным компьютерам.

    Но закрытие одного сайта, например, StarkRDP, не остановило преступников. Они быстро запустили новый сайт под названием LakeVPS[.]io с теми же людьми, серверами и даже дизайном. Это показывает, что киберпреступники очень быстро приспосабливаются к действиям полиции и не теряют времени на восстановление своих незаконных дел.

    Такая скорость запуска нового сайта подчеркивает важность не только остановки деятельности преступников, но и выявления их главных членов и привлечения их к ответственности. Пока полиция борется с новыми угрозами, хакеры находят новые способы обхода блокировок и запускают клонированные сайты.

  • Apple должна создать бэкдор для Лондона

    Apple должна создать бэкдор для Лондона

    По данным некоторых СМИ, британские власти попросили компанию Apple создать специальную дверь для доступа к данным пользователей iCloud по всему миру. Это требование было передано компании в прошлом месяце.

    Представители британских спецслужб запросили у Apple возможность получать информацию из облачного хранилища всех пользователей. Это отличается от обычных запросов на доступ к конкретным аккаунтам, так как здесь речь идет о доступе ко всей зашифрованной информации.

    Apple скорее всего не согласится на такое требование из-за своей политики конфиденциальности данных. Это может привести к судебному разбирательству, подобному случаю с ФБР в 2016 году.

    Согласно информации издания 9to5Mac, требование британского правительства не только вызывает вопросы по поводу конфиденциальности, но и технически сложно выполнимо. Большая часть данных в iCloud защищена таким образом, что Apple не может их расшифровать. Даже для данных, к которым у Apple есть доступ, уже существуют законные способы получить их через судебные решения. Apple обычно сотрудничает в разумных пределах, учитывая интересы следствия и права на конфиденциальность.

  • Microsoft решила критическую проблему в Windows 11

    Microsoft решила критическую проблему в Windows 11

    Компания Microsoft исправила ошибку в Windows 11 24H2, которая мешала пользователям без прав администратора менять часовой пояс. Ошибка была обнаружена в ноябре 2024 года, но исправление вышло только сейчас в виде необязательного обновления KB5050094, выпущенного 28 января. Пользователи с администраторскими правами могли менять дату и время без проблем через настройки системы.

    Для тех, кто не хочет устанавливать KB5050094, есть альтернативный способ. Можно использовать классическую Панель управления для смены часового пояса вместо приложения Параметры. Также можно нажать Win + R, ввести команду timedate.cpl и нажать Enter, чтобы открыть то же окно.

    Хотя исправление уже доступно в необязательном обновлении, окончательная версия будет выпущена 11 февраля в рамках традиционного обновления Patch Tuesday. После этого проблема исчезнет для всех пользователей Windows 11 24H2.

  • Раскрыты секретные документы о шифраторе Тьюринга

    Раскрыты секретные документы о шифраторе Тьюринга

    8 мая 1945 года в Британии был День Победы в Европе. Алан Тьюринг и его помощник Дональд Бейли гуляли по деревне после работы в секретной лаборатории. Бейли мало знал о работе Тьюринга, который ездил на велосипеде в другое секретное место – Блетчли-парк, где занимался взломом военных кодов.

    Тьюринг считается основоположником компьютерных наук и пионером в области искусственного интеллекта. Его работа над взломом шифров была известна, но его достижения в электротехнике долго оставались в тени. В 2023 году была продана коллекция бумаги Бейли, где хранились записи об их совместной работе.

    Тьюринг и Бейли работали над проектом Делайла – первой портативной системой шифрования голоса. Тьюринг использовал опыт с текстовыми шифрами для создания этой системы. Их работа привела к успешному прототипу, который стал одной из первых систем на криптографических принципах.

    Тьюринг использовал мультивибраторы в генераторе ключа для Делайлы. Они обеспечивали случайность при создании шифровального ключа. В записях Тьюринга описаны эксперименты с различными частями системы, показывая его технический гений.

    Тьюринг и Бейли продолжали работу над системой до конца войны, после чего интерес к проекту угас. Однако опыт, полученный ими при разработке Делайлы, пригодился Тьюрингу в дальнейшей работе над электронными вычислительными машинами. Все это показывает другую сторону великого математика – его талант и креативность в области электротехники.

  • Google и Yahoo улучшили стандарты DMARC для почты

    Google и Yahoo улучшили стандарты DMARC для почты

    Прошло почти год с тех пор, как Google и Yahoo стали более строгими по отношению к отправителям электронной почты. Новые данные от Red Sift показывают, что за это время 2,3 миллиона организаций внедрили политику DMARC, что сделало их электронную почту более защищенной от мошенничества и подделок.

    В феврале 2024 года 91,38% доменов по всему миру не использовали DMARC, что делало их уязвимыми для атак. Но к декабрю 2024 года уровень внедрения DMARC значительно вырос, удвоившись по сравнению с предыдущим годом. Всего 2,32 миллиона новых доменов из 72,85 миллиона были защищены DMARC.

    Особенно заметен рост среди публичных компаний. В течение года Германия, Япония и Испания увеличили готовность к требованиям Google и Yahoo на 35%. Лидерами стали Австрия, где внедрение DMARC выросло на 28,31%, Япония на 19,44% и Испания на 16,5%.

    Помимо DMARC, компании все чаще используют BIMI — стандарт, позволяющий отображать логотипы брендов в электронных письмах. Крупнейшие публичные компании увеличили готовность к BIMI: в Австрии на 17,1%, в Испании на 15,5%, а в Германии на 15,15%. Это означает переход от базового DMARC-отчета (p=none) к строгой политике защиты (p=reject), что необходимо для использования BIMI.

    Несмотря на прогресс, 86,62% доменов все еще уязвимы, что увеличивает риски кибератак. Внедрение DMARC, DKIM и SPF остается важной задачей для бизнеса, особенно в условиях строгих требований почтовых провайдеров.

    Red Sift продолжает помогать компаниям повышать защиту электронной почты. Настройка DMARC, DKIM, SPF и FcrDNS помогает минимизировать риски атак и проблем с доставкой писем.

  • Атаки хакеров на городскую инфраструктуру: уязвимости Cityworks

    Атаки хакеров на городскую инфраструктуру: уязвимости Cityworks

    В программе Trimble Cityworks нашли уязвимость, которая позволяет злоумышленнику получить доступ к серверу Microsoft IIS и выполнить удаленный код. По данным CISA, эта уязвимость уже используется для атак.
    Cityworks используется для управления инфраструктурой муниципалитетов, аэропортов и других организаций по всему миру. Из-за этого она стала целью для киберпреступников.
    Злоумышленник сможет получить полный контроль над сервером с помощью уязвимости CVE-2025-0994, которая затрагивает все версии Cityworks до 15.8.9. CISA предупреждает об эксплуатации уязвимости в промышленном секторе.
    Уязвимость использовали для доставки вредоносных программ, таких как Cobalt Strike. Пока неизвестно, кто стоит за атаками, но Trimble получили сообщения о попытках несанкционированного доступа к Cityworks.
    Trimble выпустила обновления для Cityworks и рекомендует пользователям обновить программу. CISA советует принимать меры по увеличению киберзащиты и следить за подозрительной активностью.
    ИБ-специалисты рекомендуют пользователям Cityworks как можно скорее обновить систему и сообщать о подозрительных действиях CISA.