Автор
KL FC Bot,
в Новости и события из мира информационной безопасности
-
Похожий контент
-
От KL FC Bot
В мае традиционно отмечается «Всемирный день пароля», и в этом году к нему были приурочены анонсы сразу трех крупнейших технологических компаний. В этот день Google, Microsoft и Apple объявили о планах по поддержке технологии, которая позволит полностью отказаться от паролей.
Стандарт разрабатывает альянс FIDO совместно с консорциумом W3C, который в принципе определяет то, как выглядит и работает современный Интернет. Это достаточно серьезная попытка отказаться от паролей, а вместо них использовать в качестве средства аутентификации смартфон — по крайней мере, так это выглядит с точки зрения пользователя.
Тут стоит вспомнить, что разговоры о «смерти паролей» ведутся уже лет десять. И предыдущие попытки отказаться от такого ненадежного способа аутентификации пользователя в итоге особенно ни к чему не привели — пароли по-прежнему с нами. В этой статье мы расскажем о том, чем хорош новый стандарт FIDO и W3C. Но начнем с повторения очевидного: чем же плохи пароли?
Что не так с паролями
Главный и основной недостаток пароля — его достаточно легко украсть. На заре Интернета почти все коммуникации между компьютерами не были зашифрованы, пароли передавались открытым текстом. С ростом числа публичных точек доступа к Сети — в кафе, библиотеках, на транспорте — это стало реальной проблемой: злоумышленник мог перехватить незашифрованный пароль и остаться незамеченным.
Но наиболее серьезно проблема украденных паролей встала в начале-середине 2010-х годов, когда произошла целая серия громких взломов крупных сетевых сервисов с массовой кражей почтовых адресов и паролей пользователей. Можно с уверенностью утверждать, что все ваши пароли десятилетней давности где-то лежат в открытом доступе. Не верите? Проверьте на полезном сервисе HaveIBeenPwned.
Сервис HaveIBeenPwned позволяет проверить, встречался ли ваш пароль в одной из многочисленных утечек последних лет. Если паролю с десяток лет и больше, то результат почти наверняка будет таким
Конечно, сейчас уже далеко не все утечки содержат пароли в открытом виде: многие владельцы сетевых сервисов давно поняли, что такой способ хранения чувствительной пользовательской информации — порочная практика. Поэтому все чаще пароли хешируются, то есть хранятся в зашифрованном виде.
View the full article
-
От KL FC Bot
Когда компания подвергается кибератаке или происходит утечка корпоративных данных, бизнес лихорадочно пытается решить две задачи: минимизировать ущерб и как можно скорее вернуться к нормальному рабочему процессу. При этом основная нагрузка ложится на команду по реагированию на инциденты.
От грамотности и оперативности их действий зависит не только, как быстро будет найден источник проблемы, но и насколько надежно компания будет защищена от повторения инцидента. Ведь современные киберпреступники пытаются запутать расследование и уничтожить следы своего присутствия в инфраструктуре жертвы, а без точного выявления всей цепочки атаки нельзя гарантировать надежную защиту от использования тех же вредоносных тактик в будущем.
Наши эксперты определили набор ключевых навыков, необходимых специалисту по реагированию на инциденты:
выявление инцидента; сбор улик; анализ логов; анализ сетевой активности; создание индикаторов компрометации; исследование оперативной памяти.
View the full article
-
От KL FC Bot
18 мая компания VMware выпустила патчи для двух уязвимостей в своих продуктах: CVE-2022-22972, CVE-2022-22973. О степени их опасности говорит тот факт, что в тот же день Министерство внутренней безопасности США выпустило директиву, обязывающую все федеральные агентства в течение пяти дней устранить эти уязвимости в своей инфраструктуре — путем установки заплаток, а если это невозможно, то «удаления из своей сети» затронутых продуктов VMware. Судя по всему, есть смысл последовать примеру американских госучреждений и незамедлительно установить патчи.
Что за уязвимости?
Уязвимости затрагивают пять продуктов компании — VMware Workspace ONE Access, VMware Identity Manager, VMware vRealize Automation, VMware Cloud Foundation и vRealize Suite Lifecycle Manager.
Особую опасность представляет первая уязвимость, CVE-2022-22972, со степенью опасности 9,8 по шкале CVSS. Ее эксплуатация может позволить злоумышленника получить в системе права администратора без какой-либо аутентификации.
Вторая уязвимость, CVE-2022-22973, касается повышения привилегий. Для ее эксплуатации злоумышленники должны уже иметь какие-то права в атакуемой системе, поэтому ее степень опасности несколько ниже — 7,8 по шкале CVSS. Однако к ней также следует относиться серьезно, поскольку она позволяет повысить привилегии в системе до уровня root.
Дополнительную информацию можно найти в официальном документе FAQ, посвященном этой проблеме.
View the full article
-
От KL FC Bot
Он живет в Клермон-Ферране, в самом центре Франции. Пишет фэнтези, иногда прыгает с парашютом и старается сделать каждый день своей жизни запоминающимся. А еще он — член команды Global Research and Analysis Team (GReAT). Это подразделение экспертов «Лаборатории Касперского» исследует целевые атаки и продвинутые вредоносные программы по всему миру, раскрывая деятельность таких хакерских групп, как Carbanak, Cozy Bear и Equation.
— Иван, твое имя сразу заставляет спросить: у тебя есть какие-то славянские корни?
— Более или менее. Имя унаследовано от моего деда с отцовской стороны. Фамилия «Квятковский» пришла из Польши, но самое смешное, что это не собственная фамилия деда: он был приемным ребенком, так что его реальное имя и происхождение неизвестны. То есть славянские корни определенно есть, но какие именно — уже не узнать.
— Ты анализируешь вредоносное ПО и хакерскую активность. Как можно получить такую профессию? Я сомневаюсь, что такие вещи были в списке курсов, когда ты учился в университете.
— Да, во времена моей молодости не было еще такого вузовского предмета, как кибербезопасность, не говоря уже о каких-то специальных курсах по анализу вредоносного ПО. Честно говоря, я вообще попал в эту сферу случайно.
В 2008 году я готовился получить диплом по программированию и планировал работать в области искусственного интеллекта. Перед поездкой в Ванкувер на стажировку мне нужно было расторгнуть договор на интернет-доступ, поскольку я не хотел оплачивать все то время, что буду за границей. Я связался с провайдером, объяснил ситуацию. Они сказали, что я должен прислать им письмо примерно за месяц до отъезда, и они обо всем позаботятся.
Так я и сделал, и буквально через пару дней обнаружил, что Интернет уже отключен. Никогда еще в истории интернет-провайдеров запрос пользователя не обрабатывался с такой скоростью! Но шутки шутками, а для студента-компьютерщика остаться на месяц без Интернета — немыслимая перспектива. Мой провайдер не мог восстановить доступ, или, что более вероятно, им просто не хотелось. Поэтому я стал изучать уязвимости Wi-Fi, чтобы подключиться к соседской точке доступа до отъезда.
View the full article
-
От KL FC Bot
На какие только уловки не идут мошенники, лишь бы раздобыть криптовалюту с чужого счета! Кто-то предлагает купить дефицитное майнинговое оборудование, другие заманивают подарками от криптобирж и самого Илона Маска, а иногда даже выкладывают в публичном сервисе скриншоты с паролями от чужих криптокошельков и собирают «комиссии» с польстившихся на халяву криптоинвесторов. Сегодня расскажем о новой мошеннической схеме с розыгрышем призов и еще раз напомним, почему сид-фразу от вашего кошелька нужно хранить как зеницу ока.
Бесплатные деньги
Как это чаще всего бывает, для потенциальной жертвы все начинается с письма. Авторы этой схемы выбрали для наживки предложение поучаствовать в раздаче кругленькой суммы в одной из криптовалют — Bitcoin (BTC), Ethereum (ETH), Litecoin (LTC), Tron (TRX) или Ripple (XRP). На кону в общей сложности аналог 800 миллионов долларов, шутка ли! Под описанием аттракциона невиданной щедрости — незамысловатая инструкция из трех пунктов для желающих получить бесплатной крипты и ссылка на сайт «акции».
Присмотримся к письму. Оно подписано службой поддержки некоего Crypto Community, то есть «криптовалютного сообщества». Так вполне могло бы назвать себя, например, объединение криптоэнтузиастов. Однако домен в адресе электронной почты отправителя не имеет отношения к какому-либо крипто в принципе. Это не вызывает доверия. Текст письма составлен небрежно, со множеством ошибок и опечаток. Вероятно, мошенники рассчитывают, что девятизначная сумма настолько поразит воображение жертвы, что на изучение деталей терпения уже не хватит.
Фишинговое письмо с предложением поучаствовать в раздаче криптовалюты
View the full article
-
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.