Вы используете устаревший браузер!

Страница может отображаться некорректно.

  • добавить в избранное
    Добавить в закладки

Дутые опасности

Прочитали: 3738 Комментариев: 118 Рейтинг: 277

Неделя без новости об уязвимости – это нонсенс. Жить становится страшно. Ну вот, например:

В четверг, 25 августа (2016 года – прим. редакции), компания Muddy Waters Capital, специализирующаяся на коротких продажах, сообщила о необходимости отзыва и повторной установки кардиостимуляторов, ICD (вживляемых дефибрилляторов) и CRT (сердечных терапевтических устройств пересинхронизации) торговой марки St. Jude Medical в связи с наличием в данных устройствах уязвимостей, которые могут привести к сбою в работе оборудования.

Как утверждает Muddy Waters Capital в своем докладе, эксперты стартапа MedSec продемонстрировали сотрудникам компании примеры двух типов кибератак на устройства. Одна из них приводит к отказу в работе импланта, вторая позволяет разрядить батарею устройства с расстояния 15 метров.

Действительно важная новость, не так ли? Она показывает, что есть люди, действительно заботящиеся о защите, а компания-производитель игнорирует безопасность своих клиентов. Это на поверхности.

Но мы понимаем, что исследователи безопасности заинтересованы в своем пиаре. Поэтому зададимся вопросом: насколько сложно (или легко) реализовать (воспроизвести на практике) найденную уязвимость?

В свою очередь, представители St. Jude Medical опровергли возможность подобной атаки. Согласно официальному заявлению компании, после установки импланта радиус действия беспроводных коммуникаций составляет приблизительно два метра, и для того, чтобы разрядить батарею устройства, злоумышленнику потребуется находиться рядом с пациентом.

Успешная атака возможна при определенных условиях. Во-первых, преступник должен непрерывно подавать сигналы на устройство в течение нескольких дней. Во-вторых, все это время жертва должна лежать неподвижно.

https://www.afp.com/en/news/1316/st-jude-medical-refutes-muddy-waters-device-security-allegations-and-reinforces-security-devices-and

Естественно, если пациент прикован к постели, можно выполнить необходимые действия. Но если злоумышленник получил доступ к такому пациенту, вероятно, он найдет более простой способ совершить преступление, без размещения рядом устройства, по которому его смогут найти?

Уязвимости сейчас ищут все кому не лень – занятие это очень популярное, дающее возможность заработка, в том числе и нелегального. Вопрос в том, насколько уязвимости, о которых нам рассказали, опасны на самом деле, а также насколько производители в курсе о по-настоящему критических уязвимостях и работают ли они над их устранением.

Итак, ваша ферма находит несколько уязвимостей, среди которых нет ни возможности RCE, ни повышения привилегий, но дает сбой системы и/или отказ от обслуживания (DOS). Зеродеи с DOS не представляют особого интереса для APT государственного уровня (скорее даже наоборот). Потому Вы и сообщаете об этих уязвимостях. Почему? Все очень просто — если о них не расскажете Вы, всегда остается возможность, что они будут использованы против вас (хактивисты, спецслужбы других государств). В данном случае у них не получится успеть первыми и до кучи Ваши собственные операции значительно обезопасятся за счет того, что проблема запатчится. В любом случае — это ситуация прямой выгоды для Вас и Ваших отчетов. Не говоря уже про саму возможность показать положительную статистику того, как вы репортите большинство найденных уязвимостей. Аккуратненько получается, не так ли?

https://xakep.ru/2016/08/11/i-worked-in-tao

К сожалению, никто не может быть уверен в том, что в используемых системах нет уязвимостей, – как «дыр» в самих продуктах, так и уязвимостей, возникших в связи с ошибками настройки.

Архив, похищенный в результате взлома сервера предположительно связанной с Агентством национальной безопасности США группировки Equation Group, помимо эксплойтов и вредоносного ПО содержит довольно редкие хакерские инструменты. В частности, вредоносный модуль, способный перепрограммировать операционную систему жесткого диска. Попав в ОС жесткого диска, вредонос остается там навсегда – его невозможно ни обнаружить, ни удалить даже при полном форматировании.

Ответственность за взлом Equation Group взяла на себя группировка The Shadow Brokers. Часть похищенных файлов хакеры опубликовали в открытом доступе. По словам исследователей, занимающихся изучением контента, массив содержит хакерские инструменты, предназначенные для эксплуатации уязвимостей в межсетевых экранах и маршрутизаторах ряда производителей.

Компания Cisco уже подтвердила подлинность двух эксплойтов — EPICBANANA и ExtraBacon, позволяющих проэксплуатировать уязвимости в межсетевых экранах компании и выполнить произвольный код. По словам экспертов Cisco, одна из уязвимостей была исправлена еще в 2011 году, однако об остальных стало известно только сейчас.

https://exploit.in/2016/10839

#Интернет #безопасность #настройки_Dr.Web

Dr.Web рекомендует

  • Огромное количество уязвимостей могут быть блокированы (их реализация будет невозможна), если принять меры по ограничению прав пользователя в системе и использовать встроенные технологии ОС. Хотя, естественно, уязвимости встречаются и в них.
  • Наличие на атакуемом компьютере антивируса существенно затрудняет как передачу, так и внедрение эксплойта в атакуемые процессы, даже если переданный вредоносный файл или код не поступал ранее на анализ в антивирусную лабораторию.

Внимание!

Если вы работаете в системе с правами администратора, запуск новых программ (а также запуск агента антивируса с целью изменения его настроек) не вызывает предупреждения системы UAC, а настройки антивируса не защищены паролем, то проникший на ваш компьютер злоумышленник сможет отключить антивирус незаметно для вас. Единственным изменением, которое вы сможете заметить, станет изменение вида иконок агента в трее. В связи с этим мы рекомендуем настроить постоянный показ иконок в трее, а не скрывать их.

Включить отображение иконки можно, щелкнув по значку #drweb на тулбаре, выбрав пункт Настроить (Customize) и настроив желаемый вид отображения иконки.

#drweb

Значок SpIDer Agent’а отражает текущее состояние Агента Dr.Web:

  • #drweb — все компоненты, необходимые для защиты компьютера, запущены и работают правильно, соединение с сервером централизованной защиты установлено;
  • #drweb — Самозащита, Агент Dr.Web или важный компонент (файловый сторож SpIDer Guard, Брандмауэр) отключены, что ослабляет защиту антивируса и компьютера; либо ожидается соединение с сервером, но оно еще не установлено. Включите Самозащиту или отключенный компонент, дождитесь соединения с сервером;
  • #drweb — в процессе запуска одного из ключевых компонентов Агента Dr.Web возникла ошибка. Компьютер находится под угрозой заражения. Проверьте наличие действительного ключевого файла и при необходимости установите его или обратитесь к администратору антивирусной сети.

И последнее:

... EMET не заменяет собой антивирусное ПО или HIPS и не служит панацеей от эксплойтов.

Аббревиатуры против вирмейкеров: WIM, CSRSS, EMET, CCMP, EFS, SEHOP, ASLR, KPP, UAC, DEP и еще кое-что

Получайте Dr.Web-ки за участие в проекте

Каждая активность = 1 Dr.Web-ка

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Чтобы получать награды надо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: