«Лаборатория Касперского» подтверждает: ее сайт был атакован, утечки данных не произошло

«Лаборатория Касперского» подтверждает: ее сайт был атакован, утечки данных не произошло

В субботу, 7 февраля 2009 года, домен usa.kaspersky.com подвергся атаке. Несколько злоумышленников с IP-адресами, принадлежащими румынским интернет-провайдерам, провели атаку типа «внедрение SQL-кода» (SQL injection) на один из разделов сайта. Новая версия этого сайта, предназначенного для поддержки пользователей, была развернута в конце января и содержала уязвимость. По окончании атаки злоумышленники разместили в своем веблоге информацию о том, что они якобы получили доступ к «личным данным» и «активационным кодам». Однако тщательный анализ, проведенный экспертами «Лаборатории Касперского» по безопасности веб-ресурсов сразу же после атаки, показал, что доступа к конфиденциальным данным организаторы атаки не получили, несмотря на то что им действительно удалось получить доступ к механизмам сайта. Получить доступ к активационным кодам и пользовательским данным атакующим не удалось.

Узнав о произошедшем, специалисты компании немедленно приняли необходимые меры, и уязвимость была закрыта. Атака никак не отразилась на работе других сайтов «Лаборатории Касперского», в том числе и разделов электронной торговли этих сайтов.

Специалисты «Лаборатории Касперского» провели расследование данного инцидента, а также привлекли независимого эксперта – представителя компании Next Generation Security Software Дэвида Литчфилда (David Litchfield), который подтвердил выводы внутреннего расследования и тот факт, что утечки данных с сайта не было. В четверг, 12 февраля 2009 г., Литчфилд представил свой отчет, в котором подтвердил, что ни к каким данным сайта злоумышленники не получили доступа.

В отчете Литчфилда, в частности, говорится следующее:

«Сайт usa.kaspersky.com и содержащаяся на нем база данных были успешно взломаны рано утром в субботу, 7 февраля. Атака производилась целенаправленно на «Лабораторию Касперского». Атакующий, который базируется в Румынии, осуществил с помощью Google поиск веб-серверов, принадлежащих «Лаборатории Касперского» и использующих приложения, которые могли быть уязвимы для внедрения SQL-кода. Он утверждает, что имел возможность получить доступ к личным данным клиентов, но при этом он публично заявил, что никакие данные с сайта не были похищены. Утверждение атакующего, что он имел возможность получить доступ к клиентским данным, соответствует действительности, и, как видно из журнала регистрации событий веб-сервера, он действительно пытался получить доступ к клиентским данным. Эти попытки, однако, оказались неудачными. Доступ к клиентским данным (в частности, именам клиентов, паролям или адресам электронной почты) не был осуществлен. В субботу атакующий предал гласности тот факт, что веб-сайт usa.kaspersky.com уязвим для внедрения SQL-кода. В результате имели место новые попытки взлома сайта из разных точек. Ни один из этих новых атакующих не получил доступа к клиентским данным. Узнав об угрозе, «Лаборатория Касперского» немедленно отключила уязвимый веб-сервер, предотвратив таким образом дальнейшие более серьезные попытки взлома».

«Лаборатория Касперского» признает, что последствия данной атаки могли бы быть значительно более серьезными. В настоящее время компания проводит тщательный аудит безопасности всех своих официальных сайтов и разрабатывает дополнительные процедуры внутреннего контроля, чтобы обеспечить должный уровень защиты корпоративных ресурсов от аналогичных атак в будущем.

Необходимо также отметить, что основным видом деятельности «Лаборатории Касперкого» является разработка решений по защите от вредоносного ПО. Данная атака, несомненно, вызывает озабоченность, но она никак не отразилась на качестве предлагаемых компанией продуктов.

Бесплатные VPN для Android сливают трафик и светят данные пользователей

Исследователи проверили 281 популярное бесплатное VPN-приложение из Google Play и выяснили неприятный, но закономерный факт: многие из них проваливают базовую задачу VPN — защищать трафик пользователя. Проблемные приложения суммарно установили более 2,4 млрд раз.

Проверку провели (PDF) специалисты Мичиганского университета, Университета Нью-Мексико и IIT Delhi с помощью системы MVPNalyzer.

Она создана для регулярного аудита VPN для Android и показывает, что у части таких сервисов приватность существует скорее в описании, чем в реальности.

 

У 29 приложений трафик утекал мимо зашифрованного туннеля. В 24 случаях наружу уходили DNS-запросы, по которым видно, какие сайты открывает пользователь.

Ещё шесть приложений пропускали полноценный веб-трафик вне туннеля, а четыре вообще работали без шифрования. Отличный VPN, если ваша цель — чтобы вас было видно всем.

 

Самая неприятная находка — пять приложений, которые скачивали конфигурационные файлы без шифрования. Такой файл сообщает приложению, к какому серверу подключаться. Если его можно перехватить и подменить, атакующий в той же сети, например в публичном Wi-Fi, способен перенаправить VPN-подключение на свой сервер. Пользователь увидит привычное «connected», а весь трафик пойдёт через чужие руки.

 

Слежка тоже никуда не делась. 76 приложений отправляли рекламный идентификатор устройства, а 246 связывались с известными рекламными и трекинговыми серверами. Некоторые передавали модель телефона, версию ОС, размер экрана и другие данные, из которых легко собрать цифровой отпечаток. Одно приложение, по данным исследования, отправляло даже точные GPS-координаты.

Отдельный сюрприз — слабые настройки OpenVPN. Из 108 разобранных конфигураций только одна соответствовала всем проверенным практикам безопасности. Встречались устаревшие шифры вроде Blowfish и 3DES, а в отдельных случаях шифрование фактически отключалось.

RSS: Новости на портале Anti-Malware.ru