Positive Technologies представила песочницу для выявления целевых и массовых атак с применением вредоносного ПО
Продукт предназначен для защиты корпоративной почты, пользовательского трафика и файловых хранилищ, а также выборочной проверки объектов.
Песочница PT Sandbox компании Positive Technologies позволяет моделировать точные профили рабочих станций пользователей — вплоть до версии операционной системы и браузера. Это дает возможность в защищенной виртуальной среде обнаружить вредоносное ПО, которое написано под определенное окружение и не проявляет себя в другом (например, в ходе целевой атаки ).
«Злоумышленники постоянно развивают вредоносное ПО так, чтобы антивирусы, межсетевые экраны, IPS и шлюзы его не видели. Подобное ВПО можно обнаружить только в песочнице, — рассказывает руководитель направления по развитию бизнеса Positive Technologies Алексей Данилин. — Но большинство представленных на рынке песочниц предлагают виртуальные среды с типовым набором софта, часто неактуальным. Например, в песочнице установлен только Internet Explorer, а пользователь выходит в интернет через Google Chrome. Вредоносный файл, который срабатывает только при наличии Google Chrome, в такой песочнице не “детонирует”. Важно даже совпадение версий ПО».
Механизм гибкой кастомизации в PT Sandbox позволяет решить подобные проблемы. Система дает возможность быстро создавать набор виртуальных сред, с учетом различий в наборах софта, например, у бухгалтера и разработчика.
Атакующие используют различные способы обхода песочниц. Например, вредоносное ПО распознает нахождение в специальной среде (по отсутствию движений мыши, физического CPU) и не проявляет свою зловредную активность. По данным Positive Technologies, ВПО 40% APT-группировок осуществляют подобную проверку в ходе целевых атак. PT Sandbox избегает обнаружения более 20 техниками и заставляет запускаться зловред, который пытается скрыться.
Еще до открытия подозрительного файла в среде песочницы PT Sandbox осуществляет префильтеринг с помощью нескольких предустановленных антивирусов. Это позволяет снизить нагрузку на песочницу и ускоряет проверку файлов, даже при высокой нагрузке. Кроме того, PT Sandbox обладает механизмом ретроспективного анализа и перепроверяет файлы после обновления баз знаний. По умолчанию файл перепроверяется со свежими базами, если с последнего сканирования прошло больше 24 часов, однако периодичность пользователь может настроить самостоятельно. Так, если еще вчера файл не казался подозрительным, хотя и содержал в себе элементы нового — ранее нигде не выявленного — вредоносного кода, то с обновлением сигнатур PT Sandbox сразу же сообщит об этом пользователю.
Благодаря тому, что песочница анализирует не только сам объект, но и создаваемые им в процессе проверки трафик и файлы, можно отследить вредоносную активность, внешне не связанную с самим вредоносным ПО. Песочница может выявлять угрозы даже в шифрованном трафике.
PT Sandbox поддерживает интеграцию с другими продуктами Positive Technologies — PT Network Attack Discovery, PT Application Firewall, MaxPatrol SIEM — и обогащает их знаниями об угрозах, связанных с вредоносным ПО.
В Израиле для борьбы с распространением COVID-19 могут использовать массовую слежку
Службе контрразведки могут поручить использовать антитеррористические технологии для выявления нарушений карантина.
В воскресенье, 15 марта, правительство Израиля одобрило инициативу премьер-министра Биньямина Нетаньяху по использованию антитеррористических мер для борьбы с распространением коронавируса. Как сообщает издание The Times of Israel, правительство согласилось разрешить службе контрразведки Шин-Бет массово отслеживать телефоны граждан без судебного ордера. Окончательное решение о введении данной меры примет подкомитет Кнессета по вопросам спецслужб.
По словам Нетаньяху, отслеживаться должны смартфоны людей, контактировавших с больными коронавирусом. Следя за перемещением граждан в режиме реального времени, спецслужба сможет выявлять нарушения карантина. Кроме того, метаданные позволят определять, где люди были и с кем контактировали.
В настоящее время Шин-Бет тестирует возможность использования своих технических средств для борьбы с распространением COVID-19. Как уверяют в правительстве, спецслужба будет ограничена в том, какие данные она сможет собирать. Кроме того, доступ к собранным данным будет только у ограниченного круга лиц в правительстве. Полученную информацию будет разрешено использовать исключительно для борьбы с распространением инфекции. Сбор данных будет осуществляться только в течение 30 дней с момента получения разрешения от соответствующего подкомитета Кнессета.
Одобренная правительством мера призвана спасать жизни, но вызывает опасения у правозащитников, ведь в случае ее принятия, практически любой человек в Израиле может отслеживаться спецслужбой.
Как отметил Нетаньяху, решение об отслеживании смартфонов граждан, контактировавших с больными, далось ему нелегко. «Все годы на посту премьер-министра я старательно избегал применения этой меры в отношении гражданского населения, но сейчас просто нет выбора», – цитирует премьера информагентство Reuters.
На волне быстрого распространения коронавируса массовую слежку за гражданами устроило правительство Ирана. Минздрав страны разработал мобильное приложение, предназначенное якобы для диагностирования коронавируса, которое на самом деле работает как «маячок», в режиме реального времени отслеживающий перемещение человека.
Тегеран создал фейковое приложение для диагностирования COVID-19, следящее за людьми
Приложение AC19 якобы позволяет выявить коронавирус, но на самом деле отслеживает перемещение пользователей.
Две недели назад миллионы иранцев одновременно получили на свои смартфоны уведомление от Министерства здравоохранения Ирана о необходимости установить приложение, якобы позволяющее диагностировать коронавирус.
«Дорогие соотечественники, прежде чем обратиться в больницу или центр здоровья, установите эту программу, чтобы проверить, заражены ли вы, или ваши близкие коронавирусом», – говорится в уведомлении. В сообщение также вложена ссылка на иранский магазин приложений Cafe Bazaar, откуда нужно скачать разработанное Минздравом приложение AC19.
Безусловно, приложение никак не может диагностировать у человека коронавирус. Что оно по-настоящему может, так это собирать конфиденциальные данные пользователя (имя, адрес, дату рождения) и следить за его перемещениями в режиме реального времени.
После загрузки на устройство AC19 запрашивает проверку подлинности номера телефона (хотя иранское правительство и так уже контролирует все номера через операторов связи), а также разрешение на сбор точных данных о местоположении, которые затем отправляются на принадлежащие властям серверы.
Запросы на разрешения тех или иных действий являются частью Android, и пользователи могут сами принимать их или отклонять. Однако проблема заключается в том, что в AC19 запросы отображаются на английском языке, и большинство иранских пользователей не понимают их содержания, поэтому слепо дают согласие. Более того, у 40% пользователей в Иране на смартфонах установлены старые версии Android, на которых приложение и вовсе ничего запрашивает, а просто собирает данные пользователей без их согласия.
По словам исследователя безопасности Наримана Гариба (Nariman Gharib), в AC19 используется библиотека Android, как правило использующаяся в фитнес-приложениях для отслеживания движения. «Они (правительство – ред.) в прямом смысле могут вас отслеживать. Если ваше устройство переместится с точки А в точку В, они увидят это в реальном времени», – сообщил Гариб изданию VICE News.
Интернет-пользователи смогут принять участие в борьбе с коронавирусом
В рамках Folding@home запущено несколько проектов, тем или иным образом связанных с COVID-19.
Проект распределенных вычислений Folding@home присоединился к борьбе против коронавируса. В его рамках уже запущено несколько проектов, тем или иным образом связанных с COVID-19. Часть проектов связана с процессом взаимодействия вируса с ферментом ACE2, с которым связывается COVID-19 для проникновения в клетку.
Folding@Home представляет собой проект распределенных вычислений для проведения компьютерного моделирования свертывания молекул белка. Целью проекта является изучение причин возникновения болезней, вызываемых дефектными белками, таких как Альцгеймера, Паркинсона, диабет 2 типа, болезнь Крейтцфельдта — Якоба (коровье бешенство), склероз и различных форм онкологических заболеваний с помощью моделирования процессов свертывания/развертывания молекул белка.
Folding@home использует вычислительную мощность персональных компьютеров со всего мира. Пользователь может загрузить специальную программу, которая запускается на его устройстве в фоновом режиме и выполняет вычисления, используя свободные ресурсы.
Результаты исследований могут помочь справиться с инфекцией. Сейчас у пользователей нет возможности выбрать отдельный проект, связанный с коронавирусом. Участникам программы будут предоставлять вычислительную мощность компьютеров для всех проектов, расположенных во вкладке «Любой».
Венгрия выпустила руководство по защите данных к коронавирусу
Руководство адресовано государственным и частным организациям, их сотрудникам и подрядчикам, а также клиентам.
Венгерское национальное управление по защите данных и свободе информации (Nemzeti Adatvedelmi es Informacioszabadsag Hatosag, NAIH) выпустило руководство по защите данных и COVID-19. Как отметили в NAIH, обрабатывающие личные данные в контексте усилий по предотвращению распространения COVID-19 организации должны соответствовать «Общему регламенту по защите данных» (General Data Protection Regulation, GDPR) и венгерскому закону о защите данных. Руководство адресовано государственным и частным организациям, их сотрудникам и подрядчикам, а также третьим сторонам (клиентам, посетителям):
1. Ограничение целей:
Сбор и обработка персональных данных могут считаться необходимыми только в том случае, если цель не может быть достигнута каким-либо другим способом, и в каждом случае необходимо оценить, существует ли менее агрессивное решение.
2. Минимизация данных и законность:
Если сбор персональных данных считается абсолютно необходимым, организация должна определить точное назначение и правовую основу этого. Сбор, обработка и хранение данных должны быть пропорциональны цели такой деятельности.
3. Прозрачность:
Организация должна предоставить субъекту данных информацию, требуемую согласно Статье 13 GDPR и Разделу 16 венгерского закона о защите данных. В таком случае она должна показать, что важность цели превышает важность прав личности.
4. Особые требования:
NAIH также определила ряд уникальных требований в нынешних условиях.
I. Обработка данных, связанных с занятостью:
Работодатели должны обеспечить безопасную рабочую среду, которая включает планирование и выполнение процедур защиты данных. В данных рамках работодатели обязаны: создать план обеспечения непрерывности бизнеса, включающий необходимые шаги для уменьшения распространения инфекции, оценку рисков для защиты данных, внутренние обязанности и соответствующие каналы связи; предоставить подробную информацию о коронавирусе и план действий в случае подозрения на инфекцию; при необходимости отменить или отложить деловые поездки и мероприятия, а также предоставить возможность работать из дома; предупредить сотрудников о том, что в интересах защиты своего здоровья и здоровья своих коллег они должны сообщать о любом предполагаемом контакте с коронавирусом и обращаться за медицинской помощью как можно скорее.
II. Поставщики медицинских услуг и медицинские работники:
Поставщики медицинских услуг и медицинские работники обязаны соблюдать применимые к ним правила защиты данных, в том числе обязанности в соответствии со статьей 6 (1) (c) GDPR и статьей 9 (2) (i) GDPR.
III. Обязанности сотрудников:
Сотрудники обязаны сотрудничать и информировать своих работодателей, если они знают о каком-либо риске заражения, который может повлиять на их рабочее место, их коллег или третьих лиц. Работник в этих случаях имеет право полагаться на свои права в соответствии с главой III GDPR, и работодатель должен обеспечить это.
IV Третьи стороны:
Работодатели должны удостовериться, что план обеспечения непрерывности бизнеса
включает расширенные проверки посетителей, оценку рисков защиты данных в связи с этим и предоставляет соответствующие каналы связи, а клиентам и посетителям предоставляется информация о коронавирусе.
5. Санкции:
Как отмечается в документе, нарушение законодательства о распространении инфекционных заболеваний является уголовным преступлением. В случаях намеренного заражения других людей полиция имеет право использовать записи видеонаблюдения в своих уголовных расследованиях.
Публикация руководства NAIH следует за публикацией аналогичных документов других регуляторов Европейской экономической зоны, в том числе Франции, Дании, Испании, Исландии, Ирландии, Италии, Люксембурга, Нидерландов, Норвегии, Польши, Словении, Словакии и Великобритании.
