Автор
KL FC Bot
в Новости и события из мира информационной безопасности
-
Похожий контент
-
Автор KL FC Bot
Злоумышленники все чаще используют для заражения компьютеров Windows технику ClickFix, заставляя пользователей самостоятельно запускать вредоносные скрипты. Впервые применение этой тактики было замечено весной 2024 года. За прошедшее время злоумышленники успели придумать целый ряд сценариев ее применения.
Что такое ClickFix
Техника ClickFix — это, по сути, попытка злоумышленников выполнить вредоносную команду на компьютере жертвы, полагаясь исключительно на приемы социальной инженерии. Злоумышленники под тем или иным предлогом убеждают пользователя скопировать длинную строку (в подавляющем большинстве случаев это скрипт PowerShell), вставить ее в окно запуска программы и нажать Enter, что в итоге должно привести к компрометации системы.
Чаще всего атака начинается со всплывающего окна, имитирующего нотификацию о какой-либо технической проблеме. Чтобы исправить эту проблему, пользователю необходимо выполнить несколько простых действий, которые так или иначе сводятся к копированию какого-то объекта и запуску его через окно Run. Впрочем, в Windows 11 PowerShell можно выполнить и из строки поиска приложений, настроек и документов, которая открывается при нажатии на иконку с логотипом, поэтому жертву просят скопировать что-либо именно туда.
Атака ClickFix — как своими руками заразить собственный компьютер зловредом за три простых шага. Источник
Название ClickFix эта техника получила, поскольку чаще всего в нотификации присутствует кнопка, название которой так или иначе связано с глаголом починить (Fix, How to fix, Fix it) и на которую пользователю надо кликнуть, чтобы решить якобы возникшую проблему или увидеть инструкцию по ее решению. Однако это не обязательный элемент — необходимость запуска могут аргументировать требованием проверить безопасность компьютера или, например, просьбой подтвердить, что пользователь не робот. В таком случае могут обойтись и без кнопки Fix.
Пример инструкции для подтверждения, что вы не робот. Источник
От реализации к реализации схема может немного отличаться, но чаще всего атакующие выдают жертве следующую инструкцию:
нажать кнопку для копирования решающего проблему кода; нажать сочетание клавиш [Win] + [R]; нажать сочетание [Ctrl] + [V]; нажать [Enter]. Что при этом происходит на самом деле? Первый шаг скопирует в буфер обмена какой-то невидимый пользователю скрипт. Второй — откроет окно Run («Выполнить»), которое в Windows предназначено для быстрого запуска программ, открытия файлов и папок, а также ввода команд. На третьем этапе в него из буфера обмена будет вставлен скрипт PowerShell. Наконец, на последнем этапе этот код будет запущен с текущими привилегиями пользователя.
В результате выполнения скрипта на компьютер загружается и устанавливается какой-либо зловред — конкретная вредоносная нагрузка разнится от кампании к кампании. То есть получается, что пользователь своими руками запускает вредоносный скрипт в собственной системе и заражает свой компьютер.
View the full article
-
Автор KL FC Bot
«Лаборатория Касперского» сегодня — это в первую очередь люди. Люди, которые создают наши продукты и решения, продвигают их и пользуются ими. Вы делите с нами радость новых побед, помогаете добираться до невероятных вершин и мотивируете нас каждый день становиться лучше. Мы ценим и принимаем эту поддержку!
Для вас мы развиваем Kaspersky Club — пространство для безопасного общения с единомышленниками, нашими коллегами и всеми, кто для себя решил, что «Лаборатория Касперского» — это по любви.
Фан-клуб — это… Люди
Kaspersky Club появился в 2006 году как ветвь развития официального форума «Лаборатории Касперского» — места, где можно получить ответ почти на любой вопрос, связанный с работой антивируса. А где деловое общение, там и неформальное — «пофлудить на оффоруме», как тогда говорили, собирались многие: кому-то хотелось ближе познакомиться с сотрудниками компании, другие мечтали задать любой вопрос Евгению Касперскому или просто искали себе друзей в Интернете. Так родился фан-клуб, который положил начало длинной истории.
Члены фан-клуба на встрече с Евгением Касперским в январе 2007 года.
Эра популярности форумов давно позади, но Kaspersky Club до сих пор не только существует, но и процветает: мы сохранили аутентичный форум (там можно найти даже самое первое сообщение), сделали канал в Telegram и сервер в Discord, а также регулярно проводим интересные мероприятия (об этом еще расскажем). Это все возможно лишь благодаря тому, что спустя 18 лет многие из основателей фан-клуба по-прежнему с «Лабораторией Касперского». За это время люди повзрослели, обзавелись семьями, но до сих пор заходят почитать новые темы и оставить пару сообщений на форуме. Ну разве это не любовь?
Посмотреть статью полностью
-
Автор KL FC Bot
Генерация программного кода стала одной из сфер, где ИИ уже внедрен достаточно широко, — по некоторым оценкам, за минувший год около 40% нового кода было написано ИИ. CTO Microsoft считает, что через пять лет эта цифра достигнет 95%. Этот код еще предстоит научиться правильно сопровождать и защищать.
Безопасность ИИ-кода эксперты пока оценивают как невысокую, в нем систематически встречаются все классические программные дефекты: уязвимости (SQL-инъекции, вшитые в код токены и секреты, небезопасная десериализация, XSS), логические дефекты, использование устаревших API, небезопасные алгоритмы шифрования и хеширования, отсутствие обработки ошибок и некорректного пользовательского ввода и многое другое. Но использование ИИ-ассистента в разработке ПО добавляет еще одну неожиданную проблему — галлюцинации. В новом исследовании авторы подробно изучили, как на ИИ-код влияют галлюцинации больших языковых моделей. Оказалось, что некоторых сторонних библиотек, которые ИИ пытается использовать в своем коде, просто не существует в природе.
Вымышленные зависимости в open source и коммерческих LLM
Для изучения фантомных библиотек исследователи сгенерировали 576 тысяч фрагментов кода на Python и JavaScript с помощью 16 популярных LLM.
Модели выдумывали зависимости с разной частотой: реже всего галлюцинировали GPT4 и GPT4 Turbo (вымышленные библиотеки встретились менее чем в 5% образцов кода), у моделей DeepSeek этот показатель уже превышает 15%, а сильнее всего ошибается Code Llama 7B (более 25% фрагментов кода ссылаются на несуществующие библиотеки). При этом параметры генерации, которые снижают вероятность проникновения случайных токенов в выдачу модели (температура, top-p, top-k), все равно не могут снизить частоту галлюцинаций до незначительных величин.
Код на Python содержал меньше вымышленных зависимостей (16%) по сравнению с кодом на JavaScript (21%). Результат также зависит от того, насколько стара тема разработки. Если при генерации пытаться использовать пакеты, технологии и алгоритмы, ставшие популярными за последний год, несуществующих пакетов становится на 10% больше.
Самая опасная особенность вымышленных пакетов — их имена не случайны, а нейросети ссылаются на одни и те же библиотеки снова и снова. На втором этапе эксперимента авторы отобрали 500 запросов, которые ранее спровоцировали галлюцинации, и повторили каждый из них 10 раз. Оказалось, что 43% вымышленных пакетов снова возникают при каждой генерации кода.
Интересна и природа имен вымышленных пакетов. 13% были типичными «опечатками», отличающимися от настоящего имени пакета всего на один символ, 9% имен пакетов были заимствованы из другого языка разработки (код на Python, пакеты из npm), еще 38% были логично названы, но отличались от настоящих пакетов более значительно.
View the full article
-
Автор KL FC Bot
Несмотря на то что встраиваемые компьютерные системы являются ключевыми инструментами ведения бизнеса для многих компаний, зачастую их безопасности не уделяют должного внимания. Между тем всевозможные банкоматы, кассовые терминалы, вендинговые автоматы и билетные киоски, медицинские компьютерные томографы, даже автоматические заправочные станции оперируют финансовыми и / или другими конфиденциальными данными, представляющими значительную ценность для криминала. Это делает подобные системы привлекательной мишенью для киберпреступников, следовательно, их защита от киберугроз должна быть приоритетной задачей для любой использующей их компании. Однако, несмотря на значительное на первый взгляд сходство с обычными компьютерами, встраиваемые системы обладают рядом существенных отличий, которые необходимо учитывать при разработке защитной стратегии; в противном случае существует риск столкнуться с определенными существенными, а иногда и непреодолимыми проблемами.
Особенности встраиваемых систем
Модель использования. В отличие от обычного компьютера, на котором, как правило, один сотрудник выполняет широкий набор задач, у встраиваемой системы может быть неограниченное количество пользователей, каждому из которых требуется очень небольшой спектр изначально заложенных при создании системы функций. Взаимодействие с такими системами часто осуществляется с помощью специфических устройств ввода (цифровая клавиатура, сенсорный экран с узкоспециализированным интерфейсом пользователя), не предполагающих запуск произвольных команд и файлов. Порты обмена, позволяющие подключение внешней периферии, у таких устройств чаще всего доступны только для технических специалистов. Общение с внешним миром осуществляется через Интернет, локальную сеть, кроме того, в их работе также применяются такие функционально ограниченные хранилища информации, как банковские, накопительные или дисконтные карты. При этом подобная система, очевидно, не должна использоваться для чтения электронной почты или посещения веб-сайтов — а значит, злоумышленники не могут рассчитывать на эти каналы для заражения. Однако одновременно возрастает значимость сетевого соединения. Этот канал — один из основных, используемых для атак на встраиваемые системы; в конце концов, почти все типы встраиваемых систем имеют соединение с локальной сетью компании, а значит, проникнув туда, злоумышленник может через сеть «дотянуться» и до специализированных машин. Что до портов, то тут хакеру может помочь специфика физического расположения подобных устройств.
Физическое расположение. Согласно модели использования, подавляющее большинство программно-аппаратных комплексов (ПАК) на базе встраиваемых систем располагается в общественном пространстве. Как правило, для защиты элементов ПАК от несанкционированного доступа применяются прочный стальной корпус и ограничения в способе взаимодействия с устройством. Однако, поскольку никакое устройство невозможно сделать полностью необслуживаемым, любой, самый прочный корпус должен открываться с помощью ключа. Следовательно, его может открыть и злоумышленник. Получив доступ к аппаратной части ПАК, он может подключить стандартные мышь и клавиатуру, накопитель с нужным ему зловредным ПО или даже с операционной системой, позволяющей загрузить ПАК в обход его собственной ОС. В некоторых случаях атакующие подключают даже одноплатный компьютер, с помощью которого можно взламывать саму систему или, например, анализировать команды, заставляющие диспенсер выдавать пользователю купюры. Остальное — дело техники; нужно только внедрить в систему нужные хакеру инструменты и с их помощью заставить встроенный компьютер делать то, что ему угодно, — от выдачи денег или осуществления теневых транзакций до похищения данных пользователя. Если, разумеется, встраиваемая система не защищена должным образом.
Посмотреть статью полностью
-
Автор KL FC Bot
Одно из важных понятий в информационной безопасности — это принцип минимальных привилегий. В этом посте мы разберемся, что это такое, как работает, чем следование этому принципу помогает бизнесу и как реализовать применение принципа минимальных привилегий на практике.
Как работает принцип минимальных привилегий
На русском языке принцип минимальных привилегий также известен как «принцип наименьших привилегий» или, реже, «принцип наименьших прав». А на английском — чаще всего как Principle of least privilege (PoLP) или же Principle of minimal privilege (PoMP), а иногда как Principle of least authority (PoLA).
Основная идея принципа минимальных привилегий состоит в том, что доступ к ресурсам в системе должен быть организован таким образом, чтобы любая сущность внутри этой системы имела доступ только к тем ресурсам, которые минимально необходимы для успешного выполнения рабочей цели этой сущности, — и ни к каким другим.
На практике речь может идти о разных системах и разных сущностях внутри системы. Но с точки зрения применения принципа минимальных привилегий для обеспечения безопасности бизнеса это можно переформулировать так: любой пользователь информационной инфраструктуры организации должен иметь право доступа к тем и только к тем данным, которые необходимы для выполнения его рабочих задач.
Если какому-то пользователю для решения его задач необходим доступ к той информации, к которой у него нет доступа, то его права можно повысить. Постоянно, если это предполагает его роль, или временно, если это необходимо для разового выполнения отдельного проекта или задачи (в последнем случае это называется «брекетинг привилегий»).
И наоборот, когда по тем или иным причинам пользователю более не требуется доступ к какой-то информации, то, согласно принципу минимальных привилегий, его права следует понизить.
В частности, из принципа минимальных привилегий следует, что рядовым пользователям не стоит выдавать права администратора или суперпользователя. Такие привилегии не нужны для выполнения непосредственных обязанностей обычных сотрудников, но в то же время существенно повышают риски.
Посмотреть статью полностью
-
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти