Уязвимости и эксплойты

64 ареста, 103 обвинительных акта, 16 обысков — таков предварительный итог проведения интернационального расследования по пресечению деятельности криминальных группировок, грабивших интернет-пользователей с помощью банковских троянцев ZeuS. Спецоперация Trident Breach (можно перевести как «Удар по тройственному союзу», дословно «сломать трезубец») была запущена ФБР в мае прошлого года. (Если название операции – очередной экскурс в мир мифических

Еврокомиссия подготовила проект директивы об атаках на информационные системы и новый регламент по укреплению статуса и модернизации Европейского агентства по сетевой и информационной безопасности (European Network and Information Security Agency, ENISA). Разработка этих документов была продиктована стремлением усилить позиции европейцев в противостоянии сетевому криминалу и создать эффективные механизмы реагирования на кибератаки, в частности, атаки с

За кражу 5,6 млн. рублей из платежной системы сообщники получили по 3 года условно, а их главарь — 3 года и 4 месяца с отбыванием наказания в исправительной колонии общего режима. Согласно материалам дела, преступная группировка была создана жителем Чебоксар Андрианом Степановым, который нашел троих единомышленников на одном из хакерских форумов. В качестве мишени соучастники

«Лаборатория Касперского» представляет вниманию пользователей сентябрьские рейтинги вредоносных программ.

Группа исследователей из Греции и США создала прототип вредоносной программы, которая для усиления самозащиты использует возможности графического процессора, взаимодействующего с ЦП. Концептуальный образец зловреда был разработан с применением таких типовых способов обфускации, как автораспаковка и динамическая генерация кода. Технология автоматической распаковки позволяет вирусописателю вносить незначительные изменения в процедуру сжатия или шифрования, чтобы обойти антивирусные сканеры.

Гражданин Венесуэлы осужден американскими властями на 10 лет за взлом ресурсов телеоператоров и противозаконную торговлю VoIP-услугами. Эдвин Андрес Пена (Edwin Andres Pena), подолгу проживая в Майами, основал там две компании по предоставлению доступа к VoIP-каналам. Сама по себе перепродажа услуг ничего предосудительного в себе не несет, если субподрядчик оптом закупает трафик и получает доход от

В Великобритании арестованы 19 граждан, подозреваемых в коллективном использовании комплекта ZeuS для хищения денежных средств с онлайн-счетов. Задержание произвели сотрудники PCeU (Police Central e-Crime Unit) — спецподразделения Скотленд-Ярда по борьбе с электронными преступлениями. По оценке силовиков, за последние три месяца группировка украла у пользователей свыше 6 млн. фунтов стерлингов (около 9,5 млн. долл.), а число

В Румынии арестован местный житель, которого обвиняют во взломе eBay, таргетированном фишинге, хищении денежных средств с чужих онлайн-счетов и из банкоматов. Согласно материалам следствия, Ливиу Михаил Кончой (Liviu Mihail Concioiu) возглавлял криминальную группировку, которая промышляла грабежом в интернете, а также украла более 300 тыс. евро из банкоматов итальянского банка, изготовив фальшивые карты. Совокупный ущерб от

Исследователи из университета Северной Каролины в содружестве с IBM создали прототип защитной системы, которая измеряет целостность гипервизора в скрытом режиме и в реальном времени. Кибератаки на уровне гипервизора пока большая редкость, но в случае успеха их последствия могут быть катастрофическими. HyperSentry автономен от гипервизора и собирает данные по протоколу IPMI, используя собственный канал. Для запуска

Группа по стандартизации интернет-технологий, IETF, утвердила расширенный вариант протокола для обмена информацией о киберпреступлениях. За основу протокола были взяты спецификации IODEF (Incident Object Description Exchange Format), согласно которым все отчеты о нештатных ситуациях в Сети должны предоставляться в xml-формате. В обновленной версии стандарт предусматривает также такие дополнительные возможности, как использование однозначной отметки времени, выбор языка

История вокруг червя Stuxnet в последние дни освещалась всеми средствами массовой информации много и по-разному. Слова «Иран», «атомная станция в Бушере» и «кибероружие» уже неразрывно связаны с Stuxnet. Одним из основных пунктов «иранской» теории называется то, что Иран является эпицентром эпидемии – в нем отмечено наибольшее количество зараженных компьютеров. Но дело в том, что любые

В этом месяце хакер, называющий себя pod2g, объявил, что он работает над новым эксплойтом, который позволит взламывать все существующие телефоны iPhone, используя уязвимость в загрузчике (boot ROM).

Исследователь из американской компании AT&T Билл Чезвик (Bill Cheswick) изобрел новый способ ввода паролей, надежно защищенный от взлома и перехватов. Достаточно лишь выбрать на снимке со спутника точку (лучше в той стране и местности, где никогда не бывал) и с помощью зума многократно увеличить изображение. Координаты конкретного места на географической карте и послужат надежным паролем.

Компания Google усилила защиту Google Apps от абьюзов, введя в строй систему двухуровневой авторизации. Новая услуга предоставляется как бесплатная опция и заключается в использовании дополнительного одноразового кода, который следует ввести на странице регистрации. После ввода пароля этот шестизначный код высылается на мобильный телефон владельца аккаунта в виде SMS или речевого сообщения. Он также может быть

В настоящий момент мы исследуем XSS уязвимость в Twitter. Более подробную информацию на английском см. здесь. Дополнение (18:30 msk): Сегодня в социальной сети Twitter была обнаружена серьезная XSS-уязвимость. Ее использование началось несколько часов назад, с относительно безобидного раскрашивания страниц пользователей в разные цвета. Уязвимость быстро стала использоваться и поражать новых пользователей. Так, например, «раскрашиванию» подвергся