Пентагон сэкономил на защите сайта командования ВС

Пентагон сэкономил на защите сайта командования ВС

Пентагон сэкономил на защите интернет-станицы Центрального командования ВС США, считает бывший сотрудник ЦРУ и Госдепартамента США Ларри Джонсон. Ранее сообщалось, что хакеры группировки "Исламское государство" (ИГ) взломали микроблог CENTCOM в Twitter. Они оставили в аккаунте CENTCOM пропагандистские лозунги, а также угрозы в адрес американских военных.

Вскоре после взлома страница была восстановлена в прежнем виде. По данным источников в правительстве США и ЕС, а также экспертов в области кибербезопасности, за взломом стоит группа хакеров CyberCaliphate, относящая себя к террористической группировке "Исламское государство", а ее создателем является некий 20-летний житель Бирмингема Джунаид Хуссейн.

"После того, что произошло с Центральным военным командованием США — да и сам факт, что у них есть публичный аккаунт в Твиттере, — напрашивается вопрос: о чем они там вообще думают? Это военное командование, общественная дипломатия — явно не по их части, это машина, цель которой — вести боевые действия. Я понимаю, что по какому-то ограниченному спектру деятельности все-таки необходимо иметь публичный портал с открытым доступом, но при этом должны быть приняты меры по его защите от хакерских атак. И получается, что этого-то сделано и не было", — заявил Джонсон в интервью телеканалу RT, передает ria.ru.
 
Как отметил Джонсон, причина взлома страницы может быть в том, что "в Пентагоне, скорее всего, решили не выделять на нее так уж много ресурсов, чем, по сути, и сделали из нее жирную цель для хакеров".
 
"У Госдепа, например, есть сайты в открытом доступе, и, если посмотреть на американское правительство в целом, у каждого министерства и агентства, так или иначе, есть своя страничка. Но если вникнуть в этот вопрос, быстро понимаешь, что нет единых требований в области обеспечения интернет-безопасности, которым бы все они следовали. Нет единого стандарта, который применялся бы к подобным сайтам, некоего унифицированного подхода, который усложнил бы хакерам задачу. Вместо этого каждый делает по-своему, и у кого-то получается лучше, у кого-то — хуже, а в итоге мы имеем огромное количество уязвимых мест", — заключил Джонсон.

DROIDBREAKER обходит ML-детекторы Android-вредоносов без поломки APK

Машинное обучение в антивирусах снова получило неприятный привет. Исследователи представили DROIDBREAKER — фреймворк для создания модифицированных Android-приложений, которые могут обходить ML-детекторы вредоносных приложений и при этом сохранять работоспособность.

Авторы работы отмечают, что многие прежние атаки на Android-детекторы выглядели красиво в статьях, но плохо жили в реальности.

Одни методы добавляли в APK целые доброкачественные модули, из-за чего приложение обрастало лишними признаками и часто ломалось еще на этапе сборки. Другие меняли байт-код слишком грубо: формально APK получался валидным, но нормально работать уже не мог.

Отдельная претензия исследователей была к проверке успешности таких атак. По их словам, в прошлых работах часто ограничивались тестами: приложение установилось, запустилось — значит, всё хорошо. Но это не доказывает, что после модификаций оно сохранило исходную функциональность.

 

DROIDBREAKER пытается решить именно эту проблему. Фреймворк меняет только те компоненты APK, которые сильнее всего влияют на решение целевой ML-модели. Для этого используются более точечные и безопасные манипуляции: изменение API-вызовов, модулей приложения, разрешений, URL и элементов обфускации.

Главная фишка — проверка сохранения поведения. DROIDBREAKER сравнивает журналы выполнения и API-трейсы исходного и измененного приложения, чтобы убедиться: APK не просто собрался и запустился, а действительно продолжает делать то, что должен.

В экспериментах на свежем наборе Android-приложений фреймворк показал высокую эффективность обхода как в сценариях white-box, так и в black-box. При этом ему требовалось относительно мало запросов к модели, а побочных изменений в приложении было меньше, чем у прежних подходов.

Более того, модифицированные APK заметно реже детектировались коммерческими сканерами, представленными на VirusTotal.

RSS: Новости на портале Anti-Malware.ru