30-летняя ошибка
Компания Microsoft 15 марта выпустила исправления [1] в протоколе SMBv1. Ошибка существовала во всех версиях Microsoft Windows, поскольку была частью библиотеки, разработанной еще совместно с IBM для OS/2. Компания уже давно использует новую версию протокола, но по-прежнему для обеспечения обратной совместимости сохраняла библиотеку. Поэтому именно эту ошибку использовала АНБ для своего инструментария EternalBlue, который мог до ее исправления автоматически проникать в любой компьютер под Windows без взаимодействия с пользователем. Причем сведения об ошибке АНБ передало в Microsoft только после угрозы в январе текущего года хакерской группировки TheShadowBrokers обнародовать данные об этой уязвимости.
Безопасность Android
Компания Google опубликовала отчет [2] о безопасности платформы Android. Конечно, это данные производителя, т. е. самые проблемные места в нем затушеваны. Например, в разделе о доле пользователей, которые включили на своих устройствах экран блокировки, нет полной разбивки по странам. Указывается, что средняя доля по миру составляет 48,9%, что, наверно хорошо. Лидерами оказались Сомали, Сомоа и Иран с долей телефонов в экраном блокировки в 82%, 78% и 77% соответственно. Одной из стран с минимальной долей названа Украина – 27,1%, в России это уровень немного выше, но понять, насколько, невозможно – по карте сложно оценить.
В то же время цифры по количеству устройств, где был проведен контроль целостности операционной системы и проведены тексты на совместимость, указаны подробно – для России эти показатели находятся на уровне 93% и 80% соответственно.
Наиболее интересная статистика по обнаруженным в Google Play вредоносам. Общий уровень вредоносов упал с 0,8% до 0,3% в официальном магазине и с 9,21% до 4,86% – в неофициальных. Объяснить это можно тем, что количество безопасных приложений увеличивалось быстрее количества вредоносных. Подавляющее большинство вредоносов – троянские программы (54,2%), вредоносные загрузчики, закладки, SMS-мошенничества и фишинг встречаются значительно реже – 12,7%, 11,7%, 9,9% и 6,2% соответственно. Самораспространяющиеся вредоносы, такие как «черви» и вирусы, вообще отсутствуют в статистике.
Рекомендации MIT
Группа экспертов из лаборатории искусственного интеллекта MIT под руководством Джоэля Бреннона, бывшего генерального инспектора АНБ, опубликовала документ [3], в котором содержатся рекомендации для администрации президента Дональда Трампа по организации защиты критической инфраструктуры. В рекомендациях указываются восемь основных проблемы, над которыми нужно работать: улучшать координацию защиты критических объектов; измерять киберриски и безопасность инфраструктуры; пересмотреть нормативные документы; создать центры реагирования на атаки у операторов критической инфраструктуры; снизить сложность и уязвимость компонент; решить фундаментальные архитектурные проблемы; сформулировать национальную стратегию защиты; стимулировать и улучшать образование ИБ-профессионалов. Причем под архитектурными проблемами эксперты подразумевают следующее: Интернет – это унаследованная сеть, в которой невозможно обеспечить безопасность, следовательно, от нее необходимо отключить все объекты критической инфраструктуры. Складывается ощущение, что в лаборатории искусственного интеллекта вдруг обратили внимание на российский опыт.
F-Secure: Россия атакует США
Компания F-Secure опубликовала отчет [4] за вторую половину 2016 г. по результатам замеров с ловушек вредоносной активности – хонипотов, которые фиксируют вредоносную деятельность в Интернете по всему миру. В отчете отмечается, что наиболее часто атаки выполняются с IP-адресов, зарегистрированных на российских провайдеров, – до 60% вредоносного трафика исходит с таких адресов. На втором месте Нидерланды (11%), на третьем – США (9%). Основной целью атак были хонипоты, расположенные на территории США: было зафиксировано 26 976 атак из России на США, 17 224 – на Нидерланды и 4 292 атак – на Германию. США и Германия в основном атакует Китай – 2009 и 973 атак соответственно.
Преступные группы с территории России и Украины занимаются в основном вымогательством с помощью шифровальщиков – до 80% вымогателей написано русскоговорящими хакерами. Причем только на Украине зафиксировано 100 подобных групп, которые вымогают деньги у пользователей по всему миру. Всего за 2016 г. зафиксировано 193 семейства шифровальщиков, и это стало большой проблемой для всего мира.
«Русский хакер» предстал перед американским правосудием
Министерство юстиции США объявило о предъявлении обвинений хакеру Марку Вартаняну (псевдоним Kolypto) в использовании вредоносной программы «Цитадель», которой было инфицировано 11 компьютеров. Управлялась она из России, ущерб оценивается в 500 млн долл. Ранее по этому же делу был задержан Дмитрий Белероссов. Марк Вартанян был задержан в Норвегии и депортирован в США, где и предстал перед судом. Пикантная особенность – в начале статьи он назван «русским хакером», а в конце указывается, что ему предъявляются обвинения по работе с августа 2012 г. по январь 2013 г. с территории Украины и с апреля по июнь 2014 г. – с территории Норвегии. Вот такой «русский» украинско-норвежский хакер. Остается открытым вопрос: управлялась ли зомби-сеть «Цитадель» с территории России, если хакер, который обвиняется в ее работе, в России не был?
[2] https://source.android.com/security/reports/Google_Android_Security_2016_Report_Final.pdf
[3] https://drive.google.com/file/d/0B9HHfYresOgRb0NlUmxoU0toU2M/view
[4] https://www.f-secure.com/documents/996508/1030743/cyber-security-report-2017