Сапожник без сапога

Александр Панасенко 19 Февраля 2013 - 19:55

...

Неизвестные злоумышленники получили доступ к криптоключам Bit9, которые этот крупнейший разработчик защиты, основанной на белых списках, использует для подписи своих продуктов, и атаковали его клиентов зловредом с «вездеходным» пропуском. Как оказалось, во взломе повинен сам вендор, использующий собственную защиту, но забывший установить ее на несколько компьютеров.

В отличие от антивирусов, идентифицирующих зловредов и подозрительные файлы, защитные механизмы белых списков распознают лишь разрешенные к использованию приложения, а все прочие воспринимают как потенциально опасных незнакомцев. Разумеется, Bit9 по умолчанию является доверенным издателем для своих собственных продуктов, которыми пользуются около 1 тыс. солидных клиентов, включая правительственные ведомства США и порядка 30 участников списка Fortune 100. Такие мишени всегда привлекательны для злоумышленников, и на сей раз они сделали ставку на слепое доверие защитных средств к собственной подписи, сообщает securelist.com.

Зловреда, снабженного сфальсифицированной подписью Bit9, обнаружили в своих сетях три клиента этого сервиса. По свидетельству Bit9, инициаторы кибератаки получили доступ к его криптоключам посредством взлома незащищенных компьютеров в сети компании. Издатель уверен, что в результате этого незаконного вторжения злоумышленникам удалось скомпрометировать лишь его сертификат, но не сам защитный продукт ― в отличие от известного случая с RSA, когда нападавшие получили доступ к патентованым алгоритмам, заложенным в защитные решения компании.

Расследование Bit9 еще не закончено; запятнанный сертификат отозван и заменен, эксперты планируют выпустить заплатку, которая позволит автоматически детектировать вредоносный код, снабженный фальшивой подписью, и пресекать его выполнение. В ожидании патча вендор ведет мониторинг, пытаясь отловить знакомого зловреда по хэшам через свой репутационный сервис.

Следующая главная новость »

Vulnerability Management 2026: что в управлении уязвимостями уже не работает?
Регистрируйтесь на эфир!

Екатерина Быстрова 08 Апреля 2026 - 17:25

Android Лжеантивирусы Общее Персональный VPN Анонимайзеры Системы контентной веб-фильтрации Соответствие требованиям регуляторов

Вышел Android-инструмент для поиска VPN по методичке Минцифры

Разработчик под ником xtclovver выпустил проект RKNHardering — тестовое Android-приложение, которое, как утверждается, умеет искать на устройстве признаки использования VPN и прокси по логике, близкой к недавно обсуждавшейся методичке для российских ИТ-компаний.

Согласно описанию проекта, приложение написано на Kotlin и предназначено для проверки того, насколько заметен используемый сервис обхода блокировок.

Достоверно подтвердить все заявленные возможности проекта по открытым источникам пока нельзя, но сам факт появления такого инструмента хорошо ложится в текущую повестку.

RKNHardering анализирует трафик, сверяет IP-адреса с базами прокси, VPN и адресов дата-центров, а затем пытается оценить, насколько подозрительно выглядит используемое соединение.

Автор также отдельно поблагодарил runetfreedom за proof-of-concept, на основе которого, по его словам, была реализовано детектирование одного из сценариев обхода split tunneling (раздельное туннелирование). Сам runetfreedom действительно ведёт публичный GitHub-аккаунт, где размещает связанные с этой темой материалы.

Фон у этой истории понятный. В начале апреля СМИ сообщили, что Минцифры направило крупнейшим интернет-компаниям рекомендации по выявлению пользователей с включёнными VPN и при этом отдельно признало, что на iPhone такие возможности «существенно ограничены» из-за особенностей iOS.

В тех же публикациях говорилось, что внедрение механизмов поиска VPN предлагается начинать именно с мобильных устройств на Android и iOS.

Vulnerability Management 2026: что в управлении уязвимостями уже не работает?
Регистрируйтесь на эфир!