Поиск сообщества
Показаны результаты для тегов 'kaspersky'.
Найдено: 898 результатов
-
Железо для SIEM-системы | Блог Касперского
KL FC Bot опубликовал тема в Новости и события из мира информационной безопасности
В какой-то момент ИБ-департамент крупной компании неизбежно задумывается о внедрении или замене SIEM-системы и сталкивается с задачей оценки бюджета, необходимого для ее внедрения. Но SIEM — это не легковесный продукт, который можно развернуть в имеющейся инфраструктуре. Практически все решения этого класса требуют дополнительного оборудования, так что для их работы придется приобретать аппаратное обеспечение (или арендовать его). Поэтому для расчетов бюджета необходимо представлять себе предполагаемую конфигурацию оборудования. В этом посте мы попробуем рассказать о том, как архитектура SIEM влияет на требования к аппаратной составляющей, а также предоставим примерные параметры, на которые стоит ориентироваться, чтобы определить предварительную стоимость необходимого оборудования. Оценка потока информации По своей сути SIEM-система собирает данные о событиях с источников и на основании корреляции этих данных выявляет угрозы для безопасности. Поэтому, прежде чем прикидывать, какое железо необходимо для работы системы, стоит оценить, а какой, собственно, объем информации эта система будет обрабатывать и хранить. Для того чтобы понять, какие источники потребуются, следует выделить наиболее критичные риски и определить источники данных, анализ которых поможет в выявлении и анализе угроз, связанных с этими рисками. Такая оценка нужна не только для расчета необходимого аппаратного обеспечения, но и для оценки стоимости лицензии. Например, стоимость лицензии на нашу систему KUMA (Kaspersky Unified Monitoring and Analysis Platform) напрямую зависит от количества событий в секунду (Events Per Second, EPS). И еще один важный аспект — при выборе SIEM-системы важно проверить, как именно вендор считает количество событий для лицензирования. Мы, например, учитываем количество EPS после фильтрации и агрегации, причем мы считаем среднее количество событий за последние 24 часа, а не их пиковые значения, но так поступают далеко не все. View the full article -
Конкурс о сувенире от Kaspersky! Декабрь на старте, а это значит - пора готовиться к праздникам и делиться праздничным настроением! Запускаем конкурс, где ваш любимый сувенир от Kaspersky может принести вам ещё больше классных подарков! Многие из вас уже обменяли накопленные в клубе баллы на сувениры из нашего магазина. А если вы только что присоединились к Kaspersky Club - это отличная возможность узнать, какие классные подарки можно получить, участвуя в активностях клуба! Как принять участие? 1. Сфотографируйте свой любимый сувенир от Kaspersky. 2. Расскажите, что делает его особенным для вас: какой сувенир вы выбрали, чем он вас порадовал, какие эмоции вызвал или как пригодился в вашей жизни? Мы ценим ваш креатив и рады любому формату - от пары строк до целой истории! А если сувенира пока нет? Всё просто! Напишите, какой сувенир вам понравился и почему - пусть ваша мечта вдохновит других! Формат участия: Работа должна включать: - Фотографию вашего сувенира с описанием (или рассказом/историей), либо - Ссылку на понравившийся сувенир или его фотографию из магазина нашего клуба, если у вас ещё нет своего сувенира. В этом случае нужно написать оригинальный рассказ о том, почему именно этот сувенир вам понравился и чем он показался вам особенным. Выбор формата остается за вами, главное - чтобы работа была создана вами лично. ПРАВИЛА КОНКУРСА - Конкурсные работы (фотографии и описания или истории/рассказы к ним) должны быть выполнены участником самостоятельно. - Если у участника нет собственного сувенира, только в этом случае допускается использование фотографии или ссылки на выбранный сувенир из магазина нашего клуба. При этом необходимо написать рассказ о том, почему именно этот сувенир вам понравился и чем он привлёк ваше внимание. - Один участник может представить на конкурс только одну работу. - Фотография не обязательно должна быть сделана сейчас. Например, вы можете представить фото из вашего путешествия, если сувенир был с вами, а ваше описание или история связаны с этим событием. - Фотография, сделанная вами для конкурса, не должна ранее участвовать в других конкурсах нашего клуба. Исключение - использование фото из магазина клуба, если у вас еще нет собственного сувенира. - После завершения приёма работ редактирование или удаление конкурсной работы запрещено в течение 1 месяца. - Фотография и описание (или рассказ/история) к ней не должны противоречить Правилам форума. Важно: если вы создаете работу со ссылкой или фотографией из магазина клуба (в случае отсутствия у вас собственного сувенира), короткое описание не принимается. Необходимо написать оригинальный рассказ. Где разместить работу: - В теме приёма работ на форуме. - В комментариях к посту конкурса в Telegram-канале клуба. Все работы будут рассматриваться вместе и на равных условиях, независимо от площадки где они были опубликованы. Сроки проведения конкурса: Работы принимаются до 9 декабря 2024 года, 20:00 (по московскому времени). Кто может принять участие: Все зарегистрированные участники клуба "Лаборатории Касперского" и подписчики Telegram-канала клуба. Подписчики Telegram-канала клуба, в случае победы, должны будут зарегистрироваться на форуме клуба для получения награды. Участие организаторов конкурса запрещено. НАГРАЖДЕНИЕ И ПРИЗОВОЙ ФОНД Мы подготовили призовой фонд для самых вдохновляющих работ! Баллы распределены по местам: 🥇 1-е место - 1000 баллов 🥈 2-е место - 750 баллов 🥉 3-е место - 500 баллов Все остальные участники конкурса, не занявшие первые три призовых места, получат по 200 баллов. Лучшие работы будут выбраны жюри, состав которого формируется из членов Совета клуба, в течение 10 дней после завершения конкурса. Итоги будут подведены в течение 20 дней с момента завершения голосования членов жюри. Баллы победителям будут начислены в течение 20 дней с момента публикации итогов конкурса. Если у вас есть вопросы по конкурсу, их можно обсудить в данной теме. Администрация клуба сохраняет за собой право, уведомив участников, в любое время изменить правила конкурса, перезапустить его или полностью прекратить его проведение. Кроме того, администрация может отказать участнику в получении приза, если будет выявлено его недобросовестное участие (включая подачу работ явно низкого качества, что указывает на стремление участвовать исключительно ради получения поощрительного приза - злоупотребление правом на участие в конкурсе) и/или нарушения правил конкурса. Вопросы, касающиеся конкурса, включая начисление баллов, принимаются в течение 30 дней с момента объявления его результатов. Участие в конкурсе означает ваше согласие с его правилами. Но за стандартными правилами скрывается самое главное: В ваших руках - не просто сувенир, а возможность создать конкурсную работу, которая согреет и вдохновит. Покажите, чем вам дороги сувениры от нашего клуба, поделитесь мечтами и готовьтесь к праздникам вместе с Kaspersky Club! Вдохновляйте, участвуйте, выигрывайте! Ваш Kaspersky Club.
-
Лучшие конфиденциальные сервисы в подарок | Блог Касперского
KL FC Bot опубликовал тема в Новости и события из мира информационной безопасности
До Нового года и Рождества остаются считаные дни, а перегруженные службы доставки могут опоздать и не привезти нужные подарки вовремя. Конечно, тем, кому вы еще не купили подарок, можно преподнести цифровой подарочный сертификат или подписку. Но придумать интересный и полезный вариант подписки тоже нелегко, ведь уже почти все желающие обзавелись «Яндекс.Плюсом», «VK Музыкой» и аналогами, а дарить Telegram Premium уже даже как-то неудобно. Выход есть! Мы предлагаем подарить один из сервисов, который день за днем будет повышать уровень конфиденциальности получателя подарка. Ведь позаботиться о приватности хотят многие, но мало у кого хватает времени и сил сделать для этого необходимые шаги, и такой подарок станет одновременно необычным — и полезным. За редким исключением, сервисы, акцентирующие приватность, — платные. Ведь за серверы, хранящие данные, и разработку устойчивого к взлому софта нужно платить. А если не брать с подписчиков денег, то придется продавать информацию о них рекламодателям, как это делают Google и Meta*. Поэтому годовая подписка на сервис, повышающий приватность, может стать ценным подарком и в денежном выражении. С нашими рекомендациями получатель подарка сможет избавиться от небезопасных офисных приложений, сервисов заметок и мессенджеров, которые пользуются хранящейся информацией не по назначению, заменив их на приватные альтернативы. Но перед покупкой обдумайте два неоднозначных момента. Во-первых, сервисы, где важна коммуникация с людьми или совместная работа, бессмысленно дарить одному человеку — так, от зашифрованного мессенджера нет толку, если в нем нет хотя бы нескольких друзей. Возможно, такой подарок нужно сделать целой команде? Во-вторых, удобство и функциональность приватных инструментов иногда уступают «общепринятым» аналогам, не столь уважающим конфиденциальность. Насколько это критично — зависит от нужд и привычек одариваемого. Сделав эти оговорки, давайте посмотрим, какие качественные приватные альтернативы популярным сервисам достойны стать рождественским или новогодним подарком. Офисные приложения Личные дневники, черновики научных работ и финансовые расчеты все сложней уберечь от посторонних глаз. Сервисы типа Google Docs всегда были полностью онлайновыми, что порождало как проблемы утечек, так и споры о том, как Google обрабатывает хранящиеся там данные. Microsoft в последние годы стремится наверстать упущенное, включая даже в офлайновый Office целый набор спорных функций: автосохранение в OneDrive, «необязательные сетевые функции«, «функции LinkedIn». Само по себе хранение данных в облаке, возможно, не вызывало бы особой тревоги, если бы не опасения, что документы будут использовать для таргетинга рекламы, тренировки ИИ или еще каких-то посторонних целей. View the full article -
Уже сегодня технологии на базе ИИ внедрены в каждой второй компании, а за ближайшие два года к ним присоединится еще 33% коммерческих организаций. ИИ в том или ином виде будет внедрен повсеместно. Экономический эффект, который получают компании от внедрения, варьируется от повышения удовлетворенности клиентов до прямого роста выручки. По мере того как понимание сильных и слабых сторон ИИ-систем бизнесом будет углубляться, эффективность только увеличится. Но уже сейчас очевидно, что о рисках, которые несет внедрение ИИ, нужно подумать заранее. Даже ранние примеры внедрения демонстрируют, что цена ошибки ИИ-системы может быть высока и может выражаться в том числе во влиянии на репутацию, отношения с клиентами, здоровье пациентов и многое другое. А если учесть еще и киберфизические системы вроде автономных автомобилей, то вопросы безопасности станут еще острее. Внедрять безопасность постфактум, как это было с предыдущими поколениями технологий, будет дорого и порой невозможно. Чтобы в этом убедиться, достаточно найти свежие оценки ущерба, который мировой экономике наносит киберпреступность: на 2023 год это $8 трлн. Неудивительно, что страны, претендующие на технологическое лидерство в XXI веке, торопятся внедрить регулирование ИИ (например, China’s AI Safety Governance Framework, EU AI Act, US Executive Order on AI). Но в законах редко указываются технические подробности и практические рекомендации — это не их задача. Поэтому для практического применения любых регуляторных требований формата «обеспечить надежность и этичность ИИ, а также контролируемость его решений» необходимы конкретные практические рекомендации, позволяющие достичь этого результата. Чтобы помочь практикам, внедряющим ИИ уже сегодня, а также сделать будущее нашего мира более безопасным, специалисты «Лаборатории Касперского» при участии Эллисон Вайлд, члена команды по функциональной совместимости Сети по вопросам политики в области искусственного интеллекта Форума ООН по управлению Интернетом; доктора Мелодены Стивенс, профессора управления инновациями и технологиями школы государственного управления имени Мохаммеда бин Рашида; и Серхио Майо Масиаса, менеджера инновационных программ из Технологического института Арагона, создали набор рекомендаций. Документ был представлен в ходе семинара «Кибербезопасность в сфере ИИ: баланс между инновациями и рисками» на 19-м ежегодном Форуме по управлению Интернетом (UN Internet Governance Forum, IGF) для обсуждения с международным сообществом формирующих политику работы с AI экспертов. Следование описанным в документе практикам поможет инженерам, специалистам DevOps и MLOps, которые разрабатывают и затем эксплуатируют ИИ-решения, достичь высокого уровня защищенности и безопасности ИИ-систем на всех этапах их жизненного цикла. Рекомендации документа нужно индивидуально оценивать для каждого внедрения ИИ, поскольку их применимость зависит от разновидности ИИ и модели внедрения. Какие риски нужно учесть Многообразие применений ИИ вынуждает организацию учитывать очень разнородные риски: Риск от неиспользования ИИ. Звучит на первый взгляд забавно, но только сравнив выигрыш и потери компании от внедрения ИИ, можно правильно оценивать все остальные риски. Риски несоответствия регулированию. Быстро развивающееся регулирование ИИ делает этот риск динамичным, его нужно часто оценивать заново. Кроме регулирования ИИ как такового, нужно учитывать сопутствующие риски, например нарушения законов по обработке персональных данных. ESG-риски, то есть социально-этические риски применения ИИ, риски раскрытия чувствительной информации и риски для экологии. Риск нецелевого использования ИИ-сервисов пользователями — от шуточных до злонамеренных сценариев. Угрозы ИИ-моделям и наборам данных, применявшимся в тренировке. Угрозы сервисам компании, возникающие при внедрении ИИ. Возникающие при этом угрозы данным, которые обрабатываются в рамках этих сервисов. При этом «под капотом» трех последних групп рисков находятся все угрозы и задачи, традиционные для ИБ в сложных облачных инфраструктурах: контроль доступа и сегментация, управление уязвимостями и обновлениями, создание систем мониторинга и реагирования, контроль цепочек поставок. View the full article
-
Банкер Mamont под видом приложения для трекинга | Блог Касперского
KL FC Bot опубликовал тема в Новости и события из мира информационной безопасности
Мы обнаружили новую схему распространения трояна-банкера Mamont. Злоумышленники обещают доставить некий товар по оптовым ценам, которые могут быть интересны как малому бизнесу, так и частным покупателям, и предлагают установить Android-приложение для отслеживания посылки. По факту же вместо трекинговой утилиты жертве подсовывают троян, служащий для перехвата финансовых учетных данных, пуш-уведомлений и другой важной информации. Схема мошенничества На ряде сайтов злоумышленники якобы продают различные товары по достаточно привлекательным ценам. Для покупки жертве предлагают присоединиться к закрытому чату в мессенджере Telegram, где размещены инструкции по размещению заказа. По сути эти инструкции сводятся к тому, что жертве нужно написать личное сообщение менеджеру. Сам канал существует для большей убедительности: в нем идет общение участников, которые задают уточняющие вопросы, получают ответы, что-то комментируют. Вероятно, среди участников этого чата есть как другие жертвы схемы, так и боты, которые создают видимость активной торговли. View the full article -
Как инфостилеры применяются для подготовки целевых кибератак
KL FC Bot опубликовал тема в Новости и события из мира информационной безопасности
Вредоносные приложения, скрытно ворующие с компьютера пароли, финансовую и другую полезную информацию, существуют больше двадцати лет, а само слово «инфостилер» вошло в обиход в начале прошлого десятилетия. Но эти относительно простые виды вредоносного ПО стали все чаще появляться в непривычной роли — с них начинались многие крупные взломы и кибератаки последних лет. До инфостилера удалось проследить, например, кражу данных 500 млн клиентов Ticketmaster и атаку ransomware на Минздрав Бразилии. Главная сложность в борьбе с инфостилерами в том, что их невозможно победить, работая лишь с инфраструктурой и в периметре компании. Нужно учитывать нерабочую активность и личные устройства сотрудников. Современные инфостилеры Инфостилер — это приложение, которое злоумышленники неизбирательно устанавливают на любые доступные компьютеры для кражи любой полезной информации. Целью инфостилера в первую очередь являются пароли к учетным записям, данные криптокошельков, данные кредитных карт, а также куки из браузера. Последние позволяют украсть у пользователя текущую сессию в онлайн-сервисе. То есть если жертва вошла в браузере в рабочие аккаунты, то, скопировав куки на другой компьютер, злоумышленники в некоторых случаях могут получить к ним доступ, даже не зная учетных данных жертвы. Кроме того, различные инфостилеры могут: похищать переписки в e-mail и мессенджерах; воровать документы; красть изображения; делать скриншоты экрана или конкретных приложений. Встречаются экзотические варианты, которые пытаются распознавать изображения в JPG-файлах и находить на них текст (фото паролей и финансовых данных, например). Все перечисленное инфостилер отправляет на управляющий сервер, где эти данные складируются в ожидании перепродажи на черном рынке. View the full article -
Какое защищенное хранилище файлов выбрать | Блог Касперского
KL FC Bot опубликовал тема в Новости и события из мира информационной безопасности
Удобство облачных хранилищ файлов наподобие Dropbox и OneDrive омрачается лишь тем, что злоумышленники, спецслужбы или просто сотрудники хостинг-провайдера могут несанкционированно просматривать файлы в облаке. Но решение для конфиденциального хранения есть: целый ряд сервисов предлагает хранить файлы в зашифрованном виде. Некоторые называют это End-to-End Encryption, сквозным шифрованием, по аналогии с Signal и WhatsApp. Реклама гласит, что файлы шифруются еще на устройстве хозяина и отправляются в облако уже зашифрованными, а ключ шифрования есть только у владельца файлов. И никто, даже сотрудники сервиса, не может получить доступ к информации. Но так ли это на самом деле? Наташа, мы сломали все шифрование. Честно Исследователи с факультета прикладной криптографии ETH Zurich детально разобрали алгоритмы пяти популярных зашифрованных хранилищ: Sync.com, pCloud, Icedrive, Seafile и Tresorit. Оказалось, что разработчики каждого из этих сервисов допустили ошибки в реализации шифрования, позволяющие в той или иной степени манипулировать файлами и даже получать доступ к фрагментам незашифрованных данных. В двух других популярных хостингах, MEGA и Nextcloud, исследователи обнаружили дефекты раньше. View the full article -
Nearest Neighbor: как работает удаленная атака на сеть Wi-Fi
KL FC Bot опубликовал тема в Новости и события из мира информационной безопасности
С точки зрения информационной безопасности беспроводные сети, как правило, рассматриваются как нечто очень локальное. Ведь для того, чтобы к ним подключиться, необходимо физически быть в непосредственной близости от точки доступа. Это свойство существенно ограничивает их использование для атак на организацию и таким образом снижает их восприятие в качестве вероятного вектора атаки. Просто за счет того, что у человека складывается впечатление, будто абстрактный хакер из Интернета не может просто так взять и подключиться к корпоративному Wi-Fi. Однако недавно обнаруженная атака «ближайший сосед» демонстрирует, что это не совсем так. Беспроводная сеть в целом неплохо защищенной организации может стать удобной точкой входа для удаленных атакующих, если те предварительно взломают другую, более уязвимую компанию, офис которой расположен в том же здании или в одном из соседних. Рассказываем подробнее о том, как это работает и что можно сделать для защиты от подобных атак. Удаленная атака на беспроводную сеть организации Предположим, есть некие атакующие, которые собираются удаленно взломать некую организацию. Они собирают информацию об этой компании, исследуют ее внешний периметр, может быть, даже находят в базах утекших паролей учетные данные некоторых сотрудников. Но подходящих для эксплуатации уязвимостей не видят, а кроме того, понимают, что во всех внешних сервисах компании включена двухфакторная аутентификация, так что одних только паролей для входа недостаточно. Методом проникновения могла бы стать корпоративная сеть Wi-Fi, в которую можно попытаться войти с помощью тех же учетных данных. Особенно, если у организации есть гостевая сеть Wi-Fi, которая недостаточно тщательно изолирована от основной сети, — для нее двухфакторную аутентификацию и включают крайне редко. Но есть проблема: атакующие находятся на другом конце земного шара и физически не могут подключиться к офисному Wi-Fi. View the full article -
Взломали аккаунт в Telegram: что делать | Блог Касперского
KL FC Bot опубликовал тема в Новости и события из мира информационной безопасности
Угон аккаунтов в Telegram сегодня превратился в настоящий бизнес. Мошенники не только самыми изощренными методами крадут доступы к учетным записям, но и используют их для атаки на других пользователей с помощью дипфейков, социального инжиниринга и других методов. Обычно это работает так. Украв один аккаунт, злоумышленники начинают рассылать с него по всем контактам фишинговые сообщения с текстами вроде: «Привет, мне тут срочно деньги нужны, поможешь?», «Проголосуй за меня, пожалуйста, если не сложно» или «Вам отправили подарок – подписка Телеграм Премиум сроком на 1 год», чтобы угнать еще больше аккаунтов. Есть и более изощренные схемы, манипулирующие эмоциями людей – например, предложение о бесплатной фотосессии от якобы «начинающего фотографа, которому нужно наработать портфолио». В подобных сообщениях всегда есть фишинговые ссылки, зачастую выглядящие совершенно легитимно — например, как https://t.me/premium — но выводящие на сайты мошенников. Перейдя по ним и выполнив предложенные злоумышленниками действия, вы с большой долей вероятности лишитесь своего аккаунта в Telegram, а все ваши контакты окажутся под угрозой мошеннических рассылок уже от вашего имени. Помимо этого, угнанные или поддельные аккаунты могут использоваться не только для массовых фишинговых рассылок, но и для сложных таргетированных атак, порой с использованием дипфейков, направленных на сотрудников разнообразных компаний. Возможно, вы уже сталкивались с сообщениями от якобы «руководства компании» с обращением по имени-отчеству, рассказами о неких проверках компании со стороны государственных органов и требованиями в обстановке полнейшей секретности немедленно предоставить какие-либо данные или просьбой помочь компании деньгами с последующей компенсацией. Все это — фейки. При этом настоящий владелец аккаунта в Telegram может поначалу даже не подозревать, что он взломан, продолжать переписываться с друзьями, читать любимые каналы и думать, что по-прежнему не интересен мошенникам. Как такое вообще возможно? Telegram позволяет использовать один и тот же аккаунт с разных устройств, и, выманив у вас доступ к вашему аккаунту, мошенники открывают еще один сеанс на своем устройстве, не закрывая ваши активные сеансы. Затем они начинают переписку с вашими контактами, тут же удаляя отправленные от вашего лица сообщения в режиме «Удалить только у меня». При этом получатели эти сообщения видят, а вы — нет. Как показывает практика, мошенникам интересны все — даже самые обычные пользователи Telegram. Поэтому в этом материале мы ответим на два главных вопроса: как понять, что аккаунт в Telegram взломали, и что делать, если ваш аккаунт в Telegram взломан? Как понять, что ваш аккаунт в Telegram взломали Если хотя бы один пункт из списка ниже относится к вам – скорее всего, ваш аккаунт взломан. У вас внезапно поменялись никнейм или аватарка, а вы этого не делали. Вы участвовали в подозрительных конкурсах, розыгрышах или голосованиях. Вы переходили по ссылкам из сообщений в Telegram и вводили данные своей учетки – номер телефона, код подтверждения и пароль. Вы случайно заметили в любой переписке появившееся от вашего имени сообщение, которое тут же было удалено. Ваши друзья пишут, что с вашего аккаунта приходят странные сообщения, а вы их не видите. Вам пришел код подтверждения для входа на новом устройстве. Теперь обо всем по порядку. View the full article -
Улучшения SIEM-системы KUMA в Q4 2024 | Блог Касперского
KL FC Bot опубликовал тема в Новости и события из мира информационной безопасности
В ходе атак на инфраструктуру различных компаний злоумышленники все чаще прибегают к манипуляции с модулями, взаимодействующими с процессом Local Security Authority (LSA). Это позволяет им получать доступ к учетным данным пользователей и закрепиться в системе, повысить свои привилегии или развить атаку на другие системы атакуемой компании. Поэтому при подготовке очередного ежеквартального обновления для нашей SIEM-системы Kaspersky Unified Monitoring and Analysis Platform мы добавили правила, служащие для детектирования таких попыток. По классификации MITRE ATT&CK, новые правила позволяют выявлять техники T1547.002, T1547.005 и T1556.002. В чем суть техник T1547.002, T1547.005 и T1556.002? Оба вышеупомянутых варианта техники T1547 подразумевают загрузку процессом LSA вредоносных модулей. Подтехника 002 описывает добавление вредоносных DLL-библиотек с пакетами проверки подлинности Windows (Windows Authentication Packages), а подтехника 005 — библиотек с пакетами поставщиков безопасности (Security Support Providers). Загрузка этих модулей позволяет злоумышленникам получить доступ к памяти процесса LSA, то есть к критическим данным, таким как учетные данные пользователей. Техника T1556.002 описывает сценарий, когда атакующий регистрирует в системе вредоносные DLL-библиотеки фильтров паролей (Password Filter), которые по сути являются механизмом, принуждающим к исполнению парольных политик. Когда легитимный пользователь меняет пароль или же устанавливает новый, процесс LSA сверяет его со всеми зарегистрированными фильтрами, при этом он вынужден передавать фильтрам пароли в открытом, нешифрованном виде. То есть если злоумышленнику удается внедрить в систему свой вредоносный фильтр паролей, то он сможет собирать пароли при каждом запросе. Все три техники подразумевают подкладывание вредоносных библиотек в директорию C:Windows\system32, а также их регистрацию в ветке системного реестра SYSTEM\CurrentControlSet\Control\LSA\ с ключами Authentication Packages для T1547.002, Security Packages для T1547.005 и Notification Packages для T1556.002. View the full article -
Как защититься от слежки через камеру и микрофон | Блог Касперского
KL FC Bot опубликовал тема в Новости и события из мира информационной безопасности
Всего десяток лет назад на людей, заклеивающих веб-камеру пластырем, смотрели как минимум странно. Сегодня же некоторые производители ноутбуков продают устройства со встроенной шторкой — одним движением можно физически закрыть камеру. Это, конечно, полезно, но микрофон-то работать продолжает в любом случае, так что польза от такого приспособления сомнительна. А есть ли вообще смысл закрывать веб-камеру в 2024 году — или это пережиток прошлого? Шпионы, шпионы повсюду Слышали когда-нибудь про шпионское ПО? Так мы называем трояны, предназначенные для слежки. Многие представители этого семейства умеют в том числе подсматривать за своими жертвами и подслушивать их через веб-камеру и микрофон — это было актуально десять лет назад, это же актуально и сейчас. Только в те времена вредоносное ПО умело, например, только делать скриншоты с веб-камеры, а сегодня вдобавок к этому может и пароли красть из буфера обмена, и перехватывать клавиатурные нажатия, и удаленно управлять вашим устройством, и пытаться изощренно скрыться от защитных решений (в нашем случае — безуспешно). Один из примеров — недавно обнаруженный нашими экспертами троян SambaSpy. Что касается подсматривания, то мотивы у злоумышленников сейчас могут быть самыми разными: кому-то интересно подглядывать за девушками, другие организуют настоящую коммерческую слежку за топ-менеджером компании, а третьи добавляют в свое вредоносное ПО такую функциональность «на всякий случай» — вдруг что-нибудь интересное получится подсмотреть. Вариантов, как именно может быть организована слежка, — масса, и о них мы рассказывали не один раз. А вот как защищаться? Способов защиты существует достаточно много, однако всех их можно разделить на две группы: физическую и программную. И закрывать веб-камеру, отключать микрофон и проверять разрешения, выданные всем свежеустановленным приложениям, — это по-прежнему обязанность всех владельцев устройств без надежной защиты. View the full article -
Почему даже крупные компании с существенными инвестициями в ИБ регулярно становятся жертвами взлома? Наиболее частый ответ: устаревший подход к безопасности. Защитники пользуются десятками инструментов, но при этом не могут достаточно полно видеть, что происходит внутри их сети — которая теперь чаще всего включает не только привычные физические, но и облачные сегменты. Хакеры активно пользуются украденными учетными записями, действуют через взломанных подрядчиков организации и стараются использовать минимум явно зловредного ПО, предпочитая вполне легальный софт и «инструменты двойного назначения». В такой ситуации инструменты, просто защищающие компьютеры фирмы от вредоносного ПО, могут быть недостаточно эффективны для выявления хорошо продуманных кибератак. По результатам недавнего опроса, 44% директоров по ИБ жалуются, что пропустили утечку данных, причем 84% связывают это с невозможностью анализировать трафик, особенно зашифрованный. Именно детальный анализ всего трафика организации, включая внутренний, значительно повышает возможности защитников, а реализовать его можно с помощью перспективных систем Network Detection and Response (NDR). В линейке продуктов «Лаборатории Касперского» функциональность NDR реализована в рамках Kaspersky Anti Targeted Attack Platform (KATA). Старых инструментов ИБ недостаточно Если описать приоритеты современных злоумышленников всего одним словом, это будет слово «скрытность». И шпионские APT, и атаки банд кибервымогателей, и любые другие угрозы, нацеленные на конкретную организацию, прикладывают существенные усилия, чтобы не быть обнаруженными и затруднить анализ их действий постфактум. Наш отчет о реагировании на инциденты демонстрирует это во всей красе: атакующие пользуются учетными записями настоящих сотрудников или подрядчиков, применяют в атаке только ИТ-инструменты, которые уже есть в системе и применяются сисадминами организации (Living off the Land), а также эксплуатируют уязвимости, позволяющие выполнять нужные задачи от имени привилегированных пользователей, процессов и устройств. В качестве одной из опорных точек в атаках все чаще задействуются пограничные устройства, такие как прокси-сервер или межсетевой экран. А чем на это отвечает служба ИБ? Если подход к обнаружению угроз в компании проектировался несколько лет назад, возможно, у защитников просто нет инструментов, чтобы вовремя обнаружить такую активность. Межсетевые экраны — в своем традиционном виде защищают только периметр организации и не помогают обнаруживать подозрительную сетевую активность внутри периметра (например, захват атакующими новых компьютеров). Системы обнаружения и предотвращения вторжений (IDS/IPS) — имеют весьма ограниченные возможности классических IDS для детектирования активности по зашифрованным каналам, а их типичное расположение на границе раздела сетевых сегментов делает обнаружение бокового перемещения затруднительным. Антивирусы и системы защиты конечных точек — сложно использовать для обнаружения активности, полностью ведущейся легитимными инструментами в ручном режиме. Более того, в организации всегда есть роутеры, IoT-устройства или сетевая периферия, на которых этой системы защиты и не может быть в принципе. View the full article
-
Недекларированная функциональность в системах Machine Learning
KL FC Bot опубликовал тема в Новости и события из мира информационной безопасности
Риски применения ИИ-систем человечество будет изучать и устранять десятилетиями. Одним из наименее изученных на сегодня является риск троянизации модели, когда полезная и на первый взгляд верно работающая система машинного обучения содержит скрытую функциональность или намеренно внесенные ошибки. Создать такого «троянского коня» можно несколькими способами, которые отличаются уровнем сложности и сферой применения. И это не прогнозы на будущее, а реальные кейсы. Вредоносный код в модели Некоторые форматы хранения ML-моделей могут содержать исполняемый код. Например, произвольный код может быть выполнен при загрузке файла в формате pickle — стандартном для Python формате сериализации (приведения к форме, подходящей для сохранения и передачи) данных, используемом, в частности, в библиотеке для глубокого обучения PyTorch. В другой популярной библиотеке для машинного обучения TensorFlow модели в форматах .keras и HDF5 могут содержать «лямбда-слой», тоже по сути выполняющий произвольные команды на Python. В этом коде легко спрятать вредоносную функциональность. В документации TensorFlow можно найти предупреждение, что модель в TensorFlow при исполнении может читать и записывать файлы, получать и отправлять данные по сети и даже запускать дочерние процессы. В общем, является по сути полноценной программой. Вредоносный код может срабатывать сразу же при загрузке ML-модели. В популярнейшем репозитории публичных моделей Hugging Face в феврале 2024 года было обнаружено около ста моделей с вредоносной функциональностью. Из них 20% создавали на зараженном устройстве оболочку для удаленного доступа (Reverse Shell), а 10% запускали дополнительное ПО. View the full article -
Атака на продавцов на площадках объявлений | Блог Касперского
KL FC Bot опубликовал тема в Новости и события из мира информационной безопасности
Крупные онлайн-сервисы купли-продажи прилагают значительные усилия по борьбе с мошенничеством, но киберпреступники постоянно изобретают все новые схемы обмана как покупателей, так и продавцов. В этом году популярность получила схема с онлайн-видеозвонком: «покупатели» просят показать им товар по видео, а на самом деле выманивают коды доступа в банк. Мошенническая схема в четырех актах. Акт первый. Подозрение К продавцу дорогостоящего или сложного товара (например, телевизора) обращается покупатель, который готов сразу же перевести оплату и максимально быстро забрать товар. Но есть нюанс — сначала он просит показать товар по видео. Функциональность большинства онлайн-барахолок не предусматривает такую возможность, а если она есть, то по «счастливой» случайности оказывается мошеннику неудобна: «Вы знаете, у меня почему-то тут не работает звонок, давайте лучше в WhatsApp?» Так разговор плавно перетекает в мессенджер. Переход в WhatsApp, Telegram или любое другое средство общения помимо официального инструмента площадки объявлений — это красный флаг. На своей территории мошенникам гораздо проще, например, заманить вас на фишинговый сайт, потому что многие онлайн-барахолки попросту не разрешают делиться в чате никакими ссылками. View the full article -
Недавно мы в «Лаборатории Касперского» провели исследование и узнали, что в среднем в мире человек тратит в год $938 на 12 подписок. Это лишь очередное подтверждение того, что сегодня большое количество подписок — такой же атрибут жизни современного человека, как наличие смартфона под рукой. Подписки есть на все: на музыку, кино, фитнес, защитные решения и даже на мессенджеры. Вот о последних сегодня и поговорим, тем более что вы наверняка не раз слышали про Telegram Premium — подписку, увеличивающую все лимиты мессенджера практически в два раза. И самое крутое — ее можно дарить любому другу. При большой книге контактов приложение Telegram практически каждый день напоминает о такой возможности. Конечно же, подарочными подписками Telegram Premium манипулируют мошенники, рассылая их направо и налево. Что это за подарочные подписки от киберпреступников и как защитить свой аккаунт в Telegram — в этом материале. Как «дарят» подписку в Telegram Начинается все с невинного сообщения в Telegram от человека из вашего списка контактов (ну или того, кто им притворяется): «Вам отправили подарок — подписка Телеграм Премиум». Аккурат под ним — ссылка, которая на первый взгляд кажется легитимной. Она и в самом деле ведет на официальный канал Telegram Premium, но есть нюанс. Согласитесь, получить такое сообщение всегда приятно, и в приступе эйфории легко не заметить подвох Под текстом https://t.me/premium скрывается ссылка на совсем другую — фишинговую страницу. Работает это очень просто. Вот, казалось бы, ссылка на главную страницу блога Kaspersky Daily — https://kaspersky.ru/blog, которая на самом деле ведет на главную страницу другого нашего блога — Securelist. По такому же принципу действуют и мошенники: прикрывают свою фишинговую ссылку другим адресом. View the full article
-
Спуфинг через CVE-2024-49040 | Блог Касперского
KL FC Bot опубликовал тема в Новости и события из мира информационной безопасности
Среди уязвимостей, на которые компания Microsoft обратила внимание последним вторничным патчем от 12 ноября, была CVE-2024-49040 в Exchange. Ее эксплуатация позволяет атакующему создавать письма, которые в интерфейсе жертвы будут отображаться с вполне легитимным адресом отправителя. Казалось бы, уязвимость была исправлена, но, как выяснилось, уже 14 ноября Microsoft временно приостановила распространение апдейта для Exchange. Тем временем мы уже наблюдали попытки эксплуатации этой уязвимости. Пока случаи единичные, похожие на проверку работоспособности эксплойта. Поэтому мы в отделе развития методов фильтрации контента «Лаборатории Касперского» добавили во все решения для защиты электронной почты механизм, выявляющий попытки использования CVE-2024-49040 для спуфинга. В чем проблема уязвимости CVE-2024-49040 CVE-2024-49040 — это уязвимость с CVSS-рейтингом 7,5 актуальная для Exchange Server 2019 и Exchange Server 2016, классифицируемая как «важная». Суть ее заключается в некорректно сформулированной политике обработки хедера P2 FROM. Благодаря ей злоумышленник может задать это поле таким образом, что в нем, по сути, будет указано два электронных адреса: один реальный, который требуется скрыть от жертвы, а другой — легитимный, который, наоборот, жертве требуется показать. В результате Microsoft Exchange корректно проверит адрес отправителя, но получателю покажет совершенно другой адрес, который не будет вызывать у пользователя никаких подозрений (например, внутренний адрес сотрудника той же компании). Патчем от 12 ноября Microsoft добавила новую функцию, которая выявляет хедеры P2 FROM, не соответствующие стандарту интернет-сообщений RFC 5322, что должно было исправить ситуацию. Однако, согласно посту в блоге Microsoft, у некоторых пользователей начались проблемы с правилами потока обработки почты, которые иногда переставали работать после переустановки обновления. Поэтому раздача обновления была приостановлена и будет возобновлена после доработки. View the full article -
Накануне каждого праздника активизируются мошенники. И делают они это, кстати, довольно-таки примитивно. Готовитесь к Новому году? Ждите фейковые рождественские скидки. Впереди Международный женский день? Значит — быть фейковым подаркам. Скоро крупный футбольный турнир? Фейковые билеты тут как тут. Больше всего фейкового появляется за неделю до «черной пятницы» — так называют день старта масштабной распродажи, в которой участвуют все, от мала до велика: и магазины бытовой техники, и местечковые лавки по изготовлению мыла и, конечно же, мошенники! Сегодня расскажем про актуальные уловки киберпреступников в канун всемирного дня распродаж и способы противостояния им. Скидки! Скидки? Скидки… Именно это слово переживает всплеск популярности каждый конец ноября. Всеобщее помешательство на низких ценах только на руку мошенникам: их рассылки, купоны и фишинговые ссылки легко растворяются в массе реальных предложений. Разберем на примере. Walmart, крупнейшая в мире сеть по оптовой и розничной торговле, якобы предлагает клиентам подарочную карту номиналом $750. Выполните всего четыре простых шага и (не) получите подарочную карту View the full article
-
Следить за вами теперь могут не только спецслужбы или миллионеры, нанявшие частных детективов. Слежка так проста и дешева, что ей пользуются и ревнивые супруги, и автомобильные угонщики, и даже избыточно подозрительные работодатели. Им не нужно выглядывать из-за угла, прятаться в магазинах и даже приближаться к жертве. Для слежки прекрасно подойдут смартфон и один из маячков-трекеров, работающих по Bluetooth, — например, Apple AirTag, Samsung Smart Tag или Chipolo. Согласно одному из исков к Apple, этот способ шпионажа используется в самых разных преступлениях — от слежки за бывшими до подготовки убийств. К счастью для всех нас, защита существует! В рамках кампании «Лаборатории Касперского» по противодействию сталкингу мы расскажем, как за вами могут следить и что с этим делать. Слежка онлайн и офлайн Слежку за жертвой обычно реализуют одним из двух способов. Способ первый, чисто программный. На смартфон жертвы устанавливается коммерческое приложение для слежки — мы называем эту категорию stalkerware или spouseware. Часто такие приложения рекламируются как «приложения родительского контроля», но от легитимного родительского контроля они отличаются скрытностью — после установки деятельность приложения никак не анонсируется. Чаще всего приложение вообще незаметно на устройстве, но иногда оно маскируется подо что-то невинное, будь то мессенджер, игра или приложение-фотоальбом. Сталкерские приложения регулярно передают на сервер геолокацию жертвы, способны отправлять атакующему переписки со смартфона и другую конфиденциальную информацию, включать звукозапись с микрофона. Главным недостатком stalkerware для атакующего является усложненная установка — для нее нужно заполучить разблокированный смартфон жертвы на некоторое время. Поэтому во многих случаях, особенно когда сталкингом занимается бывший партнер или автоугонщик, в ход идет второй способ. Способ второй, с беспроводным маячком. Жертве подкидывают следящее устройство. В машине его могут засунуть в любое малозаметное место — например, за номерной знак — а человеку трекер подкладывают в сумку или другие личные вещи. View the full article
-
В репозитории PyPI найдены пакеты с инфостилером | Блог Касперского
KL FC Bot опубликовал тема в Новости и события из мира информационной безопасности
Наши эксперты из Global Research and Analysis Team (GReAT) обнаружили два вредоносных пакета в The Python Package Index (PyPI), популярном репозитории софта для программирования на Python. Согласно описанию, пакеты представляли собой библиотеки для работы с популярными языковыми моделями. Однако, на самом деле они имитировали заявленную функциональность при помощи демоверсии ChatGPT, а основной их целью была установка зловреда JarkaStealer. Пакеты были доступны для скачивания больше года и, судя по статистике репозитория, за это время они были скачаны более 1700 раз пользователями из более чем 30 стран. Что за пакеты и для чего они использовались Вредоносные пакеты были загружены в репозиторий одним автором и отличались друг от друга только названием и описанием. Первый назывался gptplus и якобы позволял реализовать доступ к API GPT-4 Turbo от OpenAI; второй — claudeai-eng и, согласно описанию, по аналогии обещал доступ к API Claude AI от компании Anthropic PBC. В описаниях обоих пакетов были примеры использования, которые объясняли, как создавать чаты и посылать сообщения языковым моделям. Но в действительности операторы этой атаки встроили в код механизм взаимодействия с демо-прокси ChatGPT, чтобы убедить жертву в работоспособности пакета. А содержавшийся, тем временем, в пакетах файл __init__.py декодировал содержавшиеся внутри данные и скачивал из репозитория на GitHub файл JavaUpdater.jar. Если на машине жертвы не обнаруживалась Java, то он также скачивал и устанавливал среду выполнения для Java (JRE) из Dropbox. Сам jar-файл содержал зловред JarkaStealer, который использовался злоумышленниками для компрометации среды разработки и незаметной эксфильтрации похищенных данных. View the full article -
CVE-2024-10924, уязвимость для обхода аутентификации на WordPress
KL FC Bot опубликовал тема в Новости и события из мира информационной безопасности
Плохие новости для компаний, использующих сайты на базе WordPress с механизмом двухфакторной аутентификации, реализованным через плагин Really Simple Security. Недавно обнаруженная в этом плагине уязвимость CVE-2024-10924 позволяет постороннему человеку аутентифицироваться на сайте под видом легитимного пользователя. Поэтому плагин рекомендуется обновить как можно быстрее. Чем опасна уязвимость CVE-2024-10924 Как бы иронично это ни звучало, но уязвимость CVE-2024-10924 в плагине с названием Really Simple Security имеет CVSS-рейтинг 9.8 и классифицируется как критическая. По сути это ошибка в механизме аутентификации, из-за которой атакующий может залогиниться на сайте как любой из зарегистрированных на нем пользователей, с полными его правами (даже админскими). В результате это может привести к перехвату контроля над сайтом. На GitHub уже появились доказательства возможности эксплуатации этой уязвимости. Более того, судя по всему, ее применение можно автоматизировать. Исследователи из Wordfence, обнаружившие CVE-2024-10924, назвали ее самой опасной уязвимостью, обнаруженной ими за 12 лет работы в сфере безопасности WordPress. View the full article -
Обновление Kaspersky Password Manager | Блог Касперского
KL FC Bot опубликовал тема в Новости и события из мира информационной безопасности
Мы ежедневно трудимся, чтобы наши продукты и решения оставались одними из лучших — как по нашему собственному мнению, так и по версии независимых исследователей. Делаем это всесторонне: добавляем новые фичи, боремся с новыми вредоносными программами, облегчаем миграцию и всячески улучшаем пользовательский опыт. Сегодня расскажем о большом обновлении Kaspersky Password Manager для мобильных устройств, которое, уверены, сделает хранение и управление паролями, кодами двухфакторной аутентификации и шифрованными документами еще удобнее. Во всех магазинах приложений это обновление появится в течение ноября 2024 года. О продвинутой фильтрации, работе поиска, синхронизации и многом другом — в этом материале. Коротко о главном Мобильной версии нашего менеджера паролей в этом году исполняется 10 лет (а версии для компьютеров — и все 15), и за это время нам удалось собрать лучшие практики в одном приложении. Несколько последних лет мы проводили исследования, в которых изучали шаблоны поведения пользователей Kaspersky Password Manager, и на их основе глобально поменяли навигацию в мобильных версиях менеджера паролей. Что нового: Заменили боковое меню с основными функциями продукта на навигационную панель, теперь все функции распределены по разделам. Создали отдельный раздел для поиска внутри приложения и улучшили сценарии его работы. Сделали работу с избранными записями еще удобнее, теперь они закрепляются в самом верху списка записей. Создали и вывели кнопку раздела «Синхронизация» на видное место. Сгруппировали генератор, импорт и проверку паролей в отдельный раздел «Инструменты». Изменения доступны всем пользователям Kaspersky Password Manager для Android (версии приложения 9.2.106 и выше) и iOS (версии приложения 9.2.92 и выше). View the full article -
Kaspersky Who Calls: инструкция по настройке | Блог Касперского
KL FC Bot опубликовал тема в Новости и события из мира информационной безопасности
Kaspersky Who Calls — приложение для защиты от телефонных мошенников и спама, имеющее бесплатную и платную версии. Рассказываем, как выбрать нужную версию, установить и настроить Kaspersky Who Calls для максимального уровня защиты. Для чего нужен и как работает Who Calls Телефонные мошенники с каждым годом становятся все изобретательнее, придумывая новые и новые схемы обмана. Наиболее опасны они для доверчивых подростков и людей старшего возраста, но жертвами их убедительности порой становятся даже профессионалы вроде главного эксперта Центробанка. Не меньшее зло — и постоянный телефонный спам: предложения взять кредит, списать долги, бесплатно пройти медицинское обследование, вылечить зубы или записать ребенка на кастинг. И даже если спам-звонки не переходят в мошеннические разводки, они раздражают и отнимают ваше время. Для защиты от мошеннических и спамерских звонков уже больше шести лет мы предлагаем использовать Kaspersky Who Calls. Это определитель номера и блокировщик мошеннических и спам-звонков с гибкими возможностями настройки, которые подойдут как людям, желающим все держать под контролем, так и пенсионерам или подросткам, для которых важно автоматически блокировать все нежелательные звонки. У Who Calls две версии: бесплатная и премиум. В бесплатной версии доступны информация о звонящем — как во время звонка, так и в списке вызовов — и, по вашему желанию, автоматическая блокировка всех спам-звонков. View the full article -
Новые требования к надежности и хранению паролей
KL FC Bot опубликовал тема в Новости и события из мира информационной безопасности
Требования, которые онлайн-сервисы предъявляют при проверке своих пользователей, — будь то длина пароля, обязательное указание номера телефона или необходимость биометрической проверки с подмигиванием, зачастую регулируются индустриальными стандартами. Одним из важнейших документов в этой сфере является NIST SP 800-63, Digital Identity Guidelines, разработанный Национальным институтом стандартов и технологий США. Требования этого стандарта обязательны для выполнения всеми государственными органами страны и всеми их подрядчиками, но на практике это означает, что их выполняют все крупнейшие IT-компании и действие требований ощущается далеко за пределами США. Даже организациям, которые не обязаны выполнять требования NIST SP 800-63, стоит глубоко ознакомиться с его обновленными требованиями, поскольку они зачастую берутся за основу регуляторами в других странах и индустриях. Более того, свежий документ, прошедший четыре раунда публичных правок с индустриальными экспертами, отражает современный взгляд на процессы идентификации и аутентификации, включая требования к безопасности и конфиденциальности, и с учетом возможного распределенного (федеративного) подхода к этим процессам. Стандарт практичен и учитывает человеческий фактор — то, как пользователи реагируют на те или иные требования к аутентификации. В новой редакции стандарта формализованы понятия и описаны требования к: passkeys (в стандарте названы syncable authenticators); аутентификации, устойчивой к фишингу; пользовательским хранилищам паролей и доступов — кошелькам (attribute bundles); регулярной реаутентификации; сессионным токенам. Итак, как нужно аутентифицировать пользователей в 2024 году? Аутентификация по паролю Стандарт описывает три уровня гарантий (Authentication Assurance Level, AAL), где AAL1 соответствует самым слабым ограничениям и минимальной уверенности в том, что входящий в систему пользователь — тот, за кого себя выдает. Уровень AAL3 дает самые сильные гарантии и требует более строгой аутентификации. Только на уровне AAL1 допустим единственный фактор аутентификации, например просто пароль. View the full article -
С киберпреступниками рано или поздно сталкиваются практически все — от детей до пенсионеров. И если вы все время откладывали на потом свою кибербезопасность, потому что эта тема кажется вам слишком сложной, то держите пять очень простых советов, которые легко понять и просто выполнять. Но каждый из них сильно улучшит вашу защиту от самых распространенных киберугроз. Мы подготовили этот пост в рамках информационной кампании Интерпола #ThinkTwice, призванной улучшить осведомленность об основных методах кибермошенничества и простых, но надежных способах противодействовать им. Автоматизируйте пароли Пароли к каждому сайту и приложению должны быть длинными (минимум 12 символов) и никогда не должны повторяться. Придумывать и запоминать столько паролей не может никто, поэтому храните, создавайте и вводите их при помощи менеджера паролей. Вам придется придумать и запомнить только один (длинный!) мастер-пароль к нему, а все остальное — от создания до заполнения паролей — будет происходить автоматически. Важные нюансы: менеджер паролей нужно установить на все свои устройства, чтобы вводить пароли с удобством повсюду. Данные будут синхронизироваться между всеми вашими устройствами, и, сохранив пароль в смартфоне, вы сможете автоматически подставить его в поле ввода на компьютере, и наоборот. Кстати, в менеджере паролей можно хранить в зашифрованном виде не только пароли, но и пин-коды, данные кредитных карт, адреса, заметки и даже сканы документов. Уровень PRO: для максимальной безопасности отключите вход в парольный менеджер по биометрии — так вам придется каждый раз вводить мастер-пароль, зато никто не сможет получить доступ ко всем вашим данным, не зная мастер-пароля (на стикере его писать не надо). View the full article
-
CVE-2024-43451 позволяет украсть NTLMv2-хеш | Блог Касперского
KL FC Bot опубликовал тема в Новости и события из мира информационной безопасности
В ноябрьском вторничном обновлении Microsoft исправила 89 уязвимостей в своих продуктах, причем две из них активно эксплуатируются. Особый интерес вызывает одна из них, CVE-2024-43451, позволяющая атакующим получить доступ к NTLMv2-хешу жертвы. Казалось бы, она имеет не особенно пугающий рейтинг по шкале CVSS 3.1 — 6,5 / 6,0. Однако при этом ее эксплуатация требует минимального взаимодействия от пользователя, а существует она благодаря движку MSHTML, наследию Internet Explorer, который теоретически отключен, деактивирован и больше не используется. Но при этом уязвимости подвержены все актуальные версии Windows. Чем опасна уязвимость CVE-2024-43451 CVE-2024-43451 позволяет злоумышленнику создать файл, который, попав на компьютер жертвы, позволит атакующему украсть NTLMv2-хеш. NTLMv2 — это протокол сетевой аутентификации, который используется в средах Microsoft Windows. Получив доступ к NTLMv2-хешу, злоумышленник может провернуть атаку типа pass-the-hash и попытаться аутентифицироваться в сети, выдав себя за легитимного пользователя, но не имея при этом его реальных учетных данных. Разумеется, для этого недостаточно одной CVE-2024-43451 — для полноценной атаки ему придется воспользоваться дополнительными уязвимостями, но чужой NTLMv2-хеш изрядно облегчит жизнь атакующего. На данный момент дополнительных сведений об атаках, в которых CVE-2024-43451 применяется на практике, у нас нет, но в описании уязвимости четко говорится, что уязвимость публична, эксплуатируема и попытки эксплуатации выявлены. View the full article