Поиск по этому блогу

воскресенье, 9 ноября 2014 г.

Необнаружимый удаленный взлом компьютера при помощи телефона


Ещё в институте, обучаясь по курсу "Защита информации", у нас был целый блок предметов, посвященный перехвату данных через стены, с кабелей мониторов, с отражающих поверхностей и тд. Уже тогда я задумывался над тем, какие перспективы есть у шпионских методов в разрезе киберпреступности.  Вот спустя почти 8 лет стали появляться первые прототипы удаленного перехвата данных с компьютеров, и примечательно, что подобного рода угрозы не учитываются в коммерческих организациях и не влияют на проектирование безопасности.


На конференции MALCON 2014, посвященной вредоносному ПО и методам взлома, израильские исследователи, специалисты по кибербезопасности, продемонстрировали метод взлома изолированных компьютеров и ноутбуков при помощи мобильного телефона, расположенного неподалеку от объекта атаки. Взлом осуществляется при помощи технологии, которая получила название AirHopper.

Идея взлома заключается в том, что радиосигналы FM-диапазона могут использоваться для дистанционного съёма информации с компьютеров. Технология AirHopper не базируется ни на Bluetooth, ни на Wi-Fi, ни на других современных технологиях беспроводной связи. Она позволяет красть данные при помощи радиоволн FM-диапазона. Cогласно информации, опубликованной на сайте университета, исследователи уже достаточно давно занимаются вопросами нестандартного использования FM-приемников, имеющихся в большинстве современных мобильных телефонов и смартфонов. При помощи этого приемника и программы, обрабатывающей принимаемые им сигналы, можно перехватывать нажатия клавиш, изображение на дисплее, которое излучается в виде радиоволн как самим дисплеем, так и видеокартой компьютера, и некоторые другие данные с изолированного от внешнего мира компьютера.

Испытания шпионской технологии AirHopper показали, что текстовая и графическая информация с компьютера может быть достоверно считана телефоном, находящимся на удалении до семи метров от компьютера. Эффективная скорость передачи данных в этом случае составляет всего 13-60 бит в секунду. Этого, конечно, недостаточно, чтобы стащить высококачественные компрометирующие фотоснимки, но для того, чтобы украсть "секретный пароль" такой скорости хватит с большим избытком.

Ссылка на материал по данной технологии: http://www.slideshare.net/mordechaiguri/air-hoppermalwarefinale 

вторник, 21 октября 2014 г.

Выбор антифрод решения для банковского сектора.

Более года назад я участвовал в выборе перспективного антифрод решения для российского банковского сектора, за 1.5 года получилось проанализировать более 30 продуктов. В списке были решения крупных компаний  (SilverTail Systems ещё до их покупки, SAS, Oracle, Symantec), различные системы расширенной аутентификации (Entrust, ActiveIdentity, Authentium, IronKey, ValidSoft), отраслевые продукты с функционалом антифрода (Tieto, CR2, BPCbt), аналитические системы (Palantir Technologies, CPADetective, GAS Technologia), конечно российские разработки (КомпассПлюс, БСС, Бифит), специализированные системы из квадрата Gartner WFD (Nice Actimize, Guardian Analytics, RSA, CA Arcot, 41 Parameter, Easy Solutions, Intellinix, Iovation, Accertify, Digital Resolve, ThreatMetrix, Alaric, Kount, Nudata) и узконаправленные решения, которые сложно отнести к какому то направлению (Crealogix, PhoneFactor, Authentify, Volance, Attachmate, MaxMind, IdentityMind, Eastnets).

Среди всех этих вендоров наряду с маститыми гигантами как Nice и RSA очень сильно выделялись несколько нишевых игроков. Одной из таких компаний является латиноамериканский вендор Easy Solutions (http://www.easysol.net/). Подход компании достаточно прост: предлагать комплексное блочное решение для защиты от банковского фрода на стороне клиентов. Набор ключевых продуктов (защита бренда, идентификация, создание доверенной среды и транзакционный анализ) позволяет создавать наборы из необходимого функционала, который позволял бы недорого решать актуальные задачи банка.

В 2014 году выпустила целых два мажоритарных обновления продукта для транзакционного анализа DetectTA.
В последней версии 2.5 система получила ряд серьезных улучшений:

  • готовые коннекторы для Wire Processing Systems для упрощения интеграции решения в инфраструктуру банка
  • полная поддержка IP геолокации и примнения данных о местоположении в сложных правилах обнаружения фрода
  •  улучшения в real-time механизмах обнаружения: новая точка платежа, новый канал платежа
  • серьезная доработка системы расследования и ведения внутренних тикетов: возможность добавления любых файлов в процессе расследования
 На первый взгляд может показаться, что большинство нововведений является уже дефакто стандартом функционала для enterprise антифрод систем. Разница же в том, что для получения большинства базовых функций в антифрод продукте приходится часто покупать полностью всю систему с большинством модулей (а это может быть просто накладно по бюджету). В случае EasySolutions к каждому продукту добавляется только необходимый функционал, который отдельно не лицензируется.

Подробнее по ссылке: https://www.linkedin.com/pulse/article/20141020162213-1901025-detectta-v2-5-now-available-2nd-major-release-in-2014

вторник, 28 января 2014 г.

Большие данные в информационной безопасности: предостережения Gartner для рынка SIEM.



Аналитика больших данных все чаще упоминается как возможный следующий шаг в развитии классических средств обеспечения информационной безопасности. Системы мониторинга событий и выявления инцидентов (SIEM) стали, пожалуй, одними из первых направлений ИБ, куда большие данные пришли в виде готовых технологий. Речь идет о переходе к нереляционным базам данных при хранении в SIEM-системе событий и логов получаемых от источников. Такой переход позволил существенно увеличить мощность систем (количество обрабатываемых событий) и скорость их корреляции для выявления инцидентов. Между тем SIEM-системы все так же в виде поступающих данных принимают классические логи, файлы и отчеты.

Возможность применения уже не просто хранения, а аналитики больших данных и сбора всей доступной информации становится новым витком в развитии SIEM систем и переходом к SIEM следующего поколения. Неспроста в январе 2014 года компания Gartner посвятила этой теме свою новую листовку о решениях мониторинга событий и выявления инцидентов (SIEM). В данной листовке аналитики компании описали свой взгляд и прогнозы развития SIEM систем на ближайшие несколько лет. 

Документ Gartner  посвящен преимущественно  использованию функционала SIEM при обработке больших данных для повышения уровня информационной безопасности компаний.

Широкой общественности доступны  некоторые тезисы указанного документа, обобщившие результаты годичной работы по мониторингу, сравнению и анализу  предлагаемых на рынке технологий анализа больших данных для мониторинга безопасности и выявления инцидентов:
  •         В условиях появления новых классов мониторинга при помощи аналитики больших данных (Security Intelligence) SIEM системы были и остаются ключевым и центральным звеном мониторинга информационной безопасности для большинства крупных организаций;
  •         Шумиха вокруг применения аналитики больших данных в информационной безопасности имеет свои причины, но пока что большие данные остаются лишь словами, а не практическими  технологиями. Многие компании находятся на стадии принятия решения о внедрении  SIEM и пока что не готовы  к адаптации аналитики больших данных для нужд обеспечения информационной безопасности;
  •          В ближайшие годы аналитику больших данных активно будут внедрять при обеспечении информационной безопасности лишь самые крупные компании. Информационная безопасность непременно станет еще одной «проблемой больших данных», но в ближайшее время аналитика больших данных будет оставаться слишком дорогой технологией для средних и малых организаций;
  •          Компаниям стоит начинать, прежде всего, с аналитики существующих данных. Никаких новых данных! Рекомендуется анализировать уже собранные данные в SIEM, NFT, ETDR и других подобных системах. Расширение объема данных и их формата должно происходить постепенно. Успешная аналитика больших данных возможна лишь только после эффективного и полного анализа уже собранной информации из используемых источников;
  •          Не стоит покупать новые решения для аналитики ИБ, особенно промаркированные как «большие данные». До той поры пока аналитики  компаний не приняли новую технологию в качестве рабочей, она будет существовать на рынке в качестве «гламурной темы».  При этом практический результат может быть  нулевой, а инвестиции большими и чрезмерно рискованными.

Очевидно, что при всей нагнетаемой на рыке шумихи вокруг технологий анализа больших данных, пока рано говорить об их полноценном выходе на рынок средств обеспечения информационной безопасности. Не стоит забывать про высокие требования к компетенции специалистов, которые должны будут создать и поддерживать алгоритмы для анализа больших данных при обеспечении защиты: выявлении аномалий, сложных атак, методов сокрытия следов и других передовых видов атак на корпоративную инфраструктуру, против которых классические средства защиты могут быть малоэффективны.


вторник, 14 января 2014 г.

Прогноз развития мошенничеств в финансовом секторе на 2014 год.



К концу 2013 года многие зарубежные компании выпустили прогнозы по противодействию мошенничествам на следующий год. Большинство таких прогнозов содержат разнообразную информацию по рынку антифрод решений, типах  атак и средствах  защиты по разным отраслевым рынкам. Предлагаю Вашему вниманию дайджест для финансового сектора из фрод- прогнозов  компаний EasySolutions, ThreatMetrix и консалтингового агентства UKFraud.


Среди основных направлений развития мошенничеств в финансовом секторе на 2014 год аналитики  выделяют 5 трендов:


Мошенничества с мобильными платежами будут развиваться быстрее, чем механизмы противодействия им. 


Мобильные платежи вырастут на 40% в 2014 году и достигнут отметки 325 миллиардов долларов США. Такое развитие рынка непременно вызовет еще большее «внимание» со стороны злоумышленников. Между тем ситуация уже сегодня находится в критической точке. Об этом свидетельствует то, что в конце 2013 года 4 крупнейших мобильных оператора США были вынуждены пойти на крайние меры и начать блокировку премиальных сервисов и SMS-платежей. Причиной стало то, что более 75% из известного мобильного вредоносного ПО использовали именно эти сервисы операторов для вывода денежных средств. Такая кардинальная борьба с подобного рода мошенничествами неизбежно приведет к тому, что злоумышленники будут искать новые методы несанкционированного списания денежных средств. Другим фактором, влияющим на развитие мобильных мошенничеств, становится большое число новых компаний, которые вышли на рынок мобильных платежей в 2013 году. Большинство подобных стартапов было создано на слабой или неподготовленной в вопросах информационной безопасности базе. Крупные холдинги и венчурные фонды охотно инвестировали в такие компании в 2013 году, при этом создавая фактически «бомбы замедленного действия», которые могут стать легкой добычей для квалифицированных злоумышленников.


Мошенничества с онлайн платежами получат еще большее распространение.


В 2014 году мошенничества при проведении онлайн платежей будут более частыми и экзотическими. Связано это с тем, что сложные механизмы, разработанные для атак на крупные финансовые организации и сайты крупнейших банков, будут использованы для атак на предприятия других сегментов финансового рынка. Большие организации либо уже пострадали в 2012-2013 году, либо смогли обезопасить себя от направленных атак. Небольшие же банки, торговые сети и онлайн магазины не так хорошо подготовлены и не имеют таких ресурсов на обеспечение ИБ и противодействия фроду.

Как следствие финансовый рынок испытает рост количества атак на малый и средний бизнес.


В условиях кризиса и роста бизнеса гибких и небольших компаний (стартапов, компаний с облачной инфраструктурой IaaS и тд.) получение доступа к денежным средствам таких фирм будет очень прибыльно для мошенников.  С другой стороны, для банков появится новая сложная задача выявления мошеннических платежей юр. лиц, которые легко могут быть скрыты в большом потоке транзакций при больших суммах единичных переводов.


Рост количества атак авто настройки прокси (PAC).


Мошенничества, основанные на авто настройке прокси переадресации, используют встроенных функционал в любом текущем браузере. Впервые подобного рода атака была использована против пользователей онлайн банка в Латинской Америке в 2013 году, она  является более развитым и сложным типом фарминг-атаки. PAC-атака позволяет мошенникам динамически перенаправлять пользователей на прокси сервера, когда выполняется навигация по определенным сайтам (банка, торговой площадки, сервиса оплаты и тд.). Фактически применение подобного метода позволяет успешно реализовывать мошенническую схему человек посередине (man-in-the-middle), но имеет специфические особенности, что приводит к существенному затруднению обнаружения следов такой атаки.


Развитие технологий банковского обслуживания будет стимулировать  появление новых видов мошенничеств.


Появление новых атак в финансовом секторе  США и стран Латинской Америки становится обыденностью.  в 2014 году прогнозируется серьезный рост количества уникальных методов атак в других странах. Прежде всего,  этот прогноз  связывают с серьезным развитием средств защиты в финансовых организациях США (системы антифрода, аутентификации, профилирования) и ростом долей рынка банковского обслуживания в развивающихся странах. При этом для классических видов банковского обслуживания мошенники ,скорее всего, будут адаптировать  высоко эффективные и прибыльные мошеннические схемы, которые уже зарекомендовали себя в других странах. Для новых же методов платежей и развивающихся технологий злоумышленники придумывают экзотические виды атак, например нацеленные на такие финансовые системы, как криптовалюты, кредиты Facebook, подарочные карты и другие средства финансового взаимодействия между людьми, которые фактически связываются в том числе с транзакциями по банковским картам. Новые виды платежей для мошенников становятся простым и анонимным способом отъема денежных средств, их отмывания и вывода в наличные.