Что связывает парадокс дней рождения и уязвимости электронных подписей? / Хабр

Введение

Допустим, я спрошу вас, сколько человек должно быть в комнате, чтобы у двух из них день рождения с вероятностью 50% приходился на один день. Каким будет ответ? Именно это и называется парадоксом дней рождения.

Парадокс гласит:

Если в комнате есть 23 человека, то с вероятностью 50% двое из них родились в один день.

В некоторых версиях парадокса делаются ещё более сильные заявления:

Если в комнате 70 человек, то с вероятностью 99% двое из них родились в один день.

Поначалу это казалось мне удивительным и контринтуитивным. Давайте выясним, почему же это правда. Чтобы упростить задачу, мы сделаем следующие допущения:

1. Будем считать, что все люди в комнате родились не в високосный год. Мы делаем это допущение, чтобы нам не пришлось анализировать два разных случая.
2. В комнате нет близнецов. При наличии пары близнецов решение будет тривиальным.
3. Мы предполагаем, что люди рождаются равномерно и случайно. Что это значит? Люди с равной вероятностью могут рождаться в любой день года. Если немного это формализовать, то вероятность рождения в любой выбранный день равна .
4. Люди рождаются независимо друг от друга. Это значит, что дата рождения любого человека не влияет на дату рождения другого.

Стоит заметить, что эти условия необязательно соблюдаются в реальном мире. В частности, в реальном мире люди не рождаются с равномерной случайностью. По этой ссылке есть статистика по дням, в которые рождаются люди. Хотя наша модель не является точным отражением реального мира, её простота позволяет значительно облегчить анализ задачи.

Нужно сказать, что если в комнате находится 366 или более людей, то в ней гарантированно есть два человека с одинаковым днём рождения.

Это следует из принципа Дирихле («принципа голубей и ящиков»): если есть 366 человека и 365 дней, то по крайней мере два человека обязательно имеют одинаковый день рождения.

Представим, что в комнате один человек, тогда вероятность его общего дня рождения с кем-то ещё равна 0. Пусть будет исходом, при котором среди людей ни один день рождения не совпадает. Пусть — вероятность того, что среди людей в комнате каждый имеет день рождения в свой день. Аналогично, пусть будет дополнением , т.е. исходом, при котором среди людей два человека имеют одинаковый день рождения.

Допустим, в комнате два человека, A и B. Без утери обобщения просто представим, что человек A родился 1 января. Чтобы у B и A были разные дни рождения, нужно, чтобы B родился в любой день, кроме 1 января. У человека B будет 364 варианта дня рождения.

Представим, что в комнате три человека, A, B и C. Допустим, что человек A родился 1 января, тогда чтобы все они родились в разные дни, человеку B остаётся только 364 дней, как и в предыдущем примере. Так как A и B занимают два дня, человек C может родиться только в 365 — 2 = 363 дня.

Здесь происходит нечто более интересное: предположим, что в комнате уже есть людей. Когда в комнату заходит -тый человек, то чтобы все человек имели разные дни рождения, должны быть истинными два исхода

1. Все людей, вошедших в комнату до него, должны иметь разные дни рождения. Какова вероятность этого? .
2. -тому человеку нужно иметь отличающийся день рождения от всех других людей в комнате. Какова вероятность этого? .

Также нужно заметить, что два представленных выше исхода независимы друг от друга, потому что по допущению (4), сделанному в начале поста, -тый человек родился независимо от всех других.

Теперь вычислим вероятности:

Поскольку мы получили , это будет означать, что вероятность общего дня рождения для двух людей равна

При увеличении вероятность стремится к 1 и достигает её.

Более сложная задача

Допустим, мы хотим обобщить эту задачу до случая, когда есть людей и возможных дней рождения. Имея , можем ли мы определить вероятность того, что два человека будут иметь общий день рождения?

Можно использовать такую же систему: у нас будет исход , обозначающий все людей, родившихся в разные дни. В случае с одним человеком ничего не меняется

В случае, когда есть два человека, обозначим их как A и B. Чтобы человек B родился в другой день, человек B должен иметь день рождения среди других вариантов.

В случае с тремя людьми человек B должен иметь день рождения, отличающийся от дня рождения A. У человека C должен быть день, отличающийся от дней рождения A и B.

В общем случае для любого мы можем использовать ту же рекурсивную формулу, что и в предыдущем разделе:

Допустим, если мы хотим найти выражение в замкнутой форме для , то мы разложим выражение

Аппроксимацией этого результата является . Хотя мы и можем найти более приближенные границы, это даёт нам достаточную аппроксимацию. Единственное тождество, которое мы использовали в этой аппроксимации:

В абстрактном виде парадокс дней рождения имеет множество применений в компьютерных вычислениях. В частности, он используется в хэшировании, которое само по себе имеет множество применений. Выводы, сделанные в этой задаче, являются ключевыми для анализа вероятности хэширования двух элементов в один ключ. Эту задачу можно ещё более обобщить до вероятностной задачи мячей и корзин (balls and bins problem), которую мы оставим для другого поста.

Применение

Парадокс дней рождения — это не просто искусственная задача или любопытный трюк для вечеринок, он имеет множество областей применения в реальном мире. Лично я считаю, что вероятностный анализ, используемый в доказательствах, полезен при анализе других задач, в которых задействована рандомизация.

В частности, это относится к области разработки криптографических хэш-функций. Мы посмотрим, как сделанный выше анализ может оказаться довольно полезен при создании хэш-функций с защитой от атак «дней рождения».

Для начала определим, что такое хэш-функция. Хэш-функция — это функция, выполняющая отображение из множества в число в интервале . Функция , определяемая как — пример хэш-функции из . Хэш-функции имеют множество применений, особенно в сочетании с популярной структурой данных «хэш-таблица». Также она используется в криптографии, где применяется специфический тип хэш-функции под названием «крипторафическая хэш-функция».

Одно из множества свойств, которыми должна обладать крипторафическая хэш-функция — стойкость к коллизиям. Должно быть сложно найти два таких , чтобы они образовывали коллизию, т.е. .

Именно на стойкости к коллизиям мы и сосредоточимся. Во-первых, я объясню, почему она является желательным свойством. Для этого мы сначала рассмотрим цифровые подписи.

В прошлом для «подписания» документов люди и организации пользовались подписями и печатями. В последнее время происходит переход к электронным или цифровым подписям. Цифровая подпись должна удовлетворять трём основным свойствам.

1. При подписании документа нужна возможность проверить, кто подписал документ.
2. После подписания документа никто не должен иметь возможности его подделать.
3. Лицо, подписавшее документ, не может в дальнейшем опровергнуть подписание документа.

Цифровая подпись — это способ доказуемого подтверждения истинности документа или сообщения. Цифровая подпись гарантирует, что полученное сообщение было создано известным отправителем и не изменялось.

Допустим, у нас есть документ . Как нам его подписать?

Каждый пользователь/организация имеет уникальный закрытый ключ и открытый ключ . Они используют функцию подписания для подписи документа собственным закрытым ключом. Однако цифровая подпись может подписать только небольшое количество документов. Область определения функции подписи мала. Один из способов решения этой проблемы — создание меньшего документа, представляющего исходный документ, но в гораздо меньшем размере. Чаще всего для этого к большому документу применяется хэш-функция. Хэш-функция используется для отображения его из большого пространства в меньшее, и результат такой операции называется «отпечатком». Подпись использует отпечаток и закрытый ключ для создания подписи. Процедуру можно описать так:

1. Получаем закрытый ключ .
2. Хэшируем документ и получаем .
3. Подписываем при помощи закрытого ключа .
4. Отправляем и открытый ключ всем, кто желает подтвердить документ.

Любой, у кого есть и открытый ключ, может проверить, действительно ли документ подписан нужным лицом.

Проблема: предположим, что злоумышленник Ева нашла два документа , где — это настоящий договор, а — мошеннический документ, такой, что . Предположим, что Ева заранее знает, что Алиса подпишет только , но не . Перед подписанием к документу применяется криптографическая хэш-функция . Ева подходит к Алисе и просит её подписать документ , воспользовавшись описанной выше последовательностью. Теперь Ева может заявить, что Алиса подписала мошеннический документ , потому что . Алиса никаким образом не сможет доказать, что она не подписывала .

В приведённом выше примере оказалась нестойкой к коллизиям функцией, поэтому Ева смогла найти два входящих набора данных, хэширующихся в то же значение. Ева смогла заявить, что Алиса подписала , хотя на самом деле она подписала только . Это подчёркивает важность стойкости к коллизиям и показывает, почему цифровые подписи уязвимы, если хэш-функция оказывается нестойкой.

Пусть будет хэш-функцией. Допустим, что входные данные случайным образом однородно и независимо хэширутся в любой из элементов .

Задача атаки «дней рождения» — найти наименьшее количество элементов , которое можно хэшировать при помощи , чтобы мы могли найти два элемента , при которых .

При атаке «дней рождения» злоумышленник будет случайным образом подбирать и сохранять пары . Злоумышленник многократно будет выбирать и сохранять эти пары, пока не найдёт двух значений , при которых . Нам нужно определить, сколько раз атакующему нужно повторить эту операцию, пока он не найдёт коллизию.

Для анализа атаки «дней рождения» можно использовать те же принципы, которые мы применяли для парадокса дней рождения. В атаке «дней рождения» обозначает количество дней в году, а аналогична людям, входящим в комнату. Люди хэшируются в их дни рождения, которые могут быть одним из значений . Допустим, нам нужно найти коллизию с вероятностью 99%. Мы должны знать, каково наименьшее , при котором хэш двух значений будет одним днём рождения (в мире хэш-функций это означает, что два входных набора данных хэшируются в одинаковое значение).

Ранее мы показали, что

Мы хотим задать , то есть .

Показанный выше анализ говорит нам, что для получения коллизии в хэш-функции с интервалом размера злоумышленнику нужно однородно и независимо хэшировать приблизительно для почти полной гарантии (вероятности 99%) того, что два элемента хэшируются в одинаковое значение.

Допустим, что мы хотим получать коллизию с вероятностью 50%; тогда нам нужно . Важный вывод здесь заключается в том, что для получения коллизии с вероятностью больше 0,5 нам придётся хэшировать порядка элементов. Это согласуется с нашим предыдущим анализом при , потому что приблизительно равен 23.

1. Имея людей, дней и некое число , найти вероятность того, что ровно людей имеют одинаковый день рождения.
2. Давайте немного преобразуем приведённую выше задачу. Допустим, у нас есть дней и некое число . Каким будет наименьшее значение , при котором не менее людей будет иметь одинаковый день рождения с вероятностью не менее 0,5? Сможете ли вы обобщить эту задачу для любой вероятности ?
3. Допустим, у нас есть 100 чисел от 1 до 100, а также машина, угадывающая случайное число от 1 до 100 в однородном и случайном порядке. Сколько раз нам нужно будет воспользоваться машиной по математическому ожиданию, чтобы машина угадала все числа о 1 до 100?
4. Сможете ли вы обобщить эту задачу до любых ?
5. Допустим, у нас есть хэш-функция, случайным однородным образом отображающая элементы в области памяти. Пусть всего областей . Сколько элементов нужно добавить в нашу структуру данных по математическому ожиданию, чтобы в каждую область были хэшированы по крайней мере два элемента?

«Путин постоянно на острие атаки»: Прохоров рассказал про хоккей с президентом

26.12.2019 в 17:03 Спорт 6149

Поделиться

Виталию Прохорову – 53! Исполнилось в среду, 25 декабря. А где ещё отмечать день рождения замечательному хоккеисту, бомбардиру, олимпийскому чемпиону-1992, вице-президенту КХЛ (Континентальной хоккейной лиги) и Федерации хоккея Москвы, как не на льду?

Фото: kremlin.ru

Причём не просто на льду, а на Красной площади. Да ещё в компании с президентом России Владимиром Путиным, да ещё в одной команде с ним! Именно в этот день состоялся традиционный предновогодний хоккейный матч с участием первого лица нашей страны. Не верю, что так просто совпало, на таком уровне случайностей не бывает: скорее – это знак уважения Прохорову…

— Вы вышли на лёд в команде с Владимиром Владимировичем, кто ещё играл за вас? – вопрос лучшему снайперу чемпионата страны-1997/98.

— Много замечательных хоккеистов и прекрасных товарищей. Например, Павел Буре, Валерий Каменский, Сергей Фёдоров… Среди друзей-соперников тоже хватало, впрочем, звёзд хоккея – и не только. Губернатор Тульской области Алексей Дюмин, традиционно надёжный не только в жизни, но и в воротах, прекрасный саксофонист Игорь Бутман, который обращается с клюшкой и шайбой не хуже, чем с любимым музыкальным инструментом, другие очень известные в нашей стране люди, всех перечислять – места не хватит… Каков Путин на льду? Всегда нацелен на ворота, постоянно на острие атаки, отдаётся игре на сто процентов. В итоге на его счету – 5 заброшенных шайб, мы победили – 8:5.

— Как и многие, наверное, обратил внимание на видео, где в перерыве вас поздравляет вся команда во главе с президентом, а министр обороны России Сергей Шойгу призывает «хотя бы один пас отдать». Получилось?

— Да, Сергей Кужугетович часто оказывался в хороших позициях – грех было в такие моменты не наградить его передачей.

— Качество льда как вам?

— Замечательное! Как и должно быть на Красной площади…

— Потом-то отметили день рождения достойно?

— Да, как всегда, отправились в Кремль, пообщались в дружеской обстановке. Безусловно, приятно, что хоккей сейчас – в центре внимания.

Читайте также: Губернаторы проиграли Путину в хоккей на Красной площади

Опубликовано видео Путина, играющего в хоккей на Красной площади

Смотрите видео по теме

Подписаться

Авторы:

• Юрий Степанов

Владимир Путин Сергей Шойгу Дмитрий Песков Игорь Бутман Москва Россия Тула Хоккей Губернатор

Опубликован в газете «Московский комсомолец» №28162 от 27 декабря 2019

Заголовок в газете: «Приятно, что хоккеи — в центре внимания»

Что еще почитать

Что почитать:Ещё материалы

В регионах

• Путин объявил частичную мобилизацию в России: кого коснётся

  44763

  Рязань

  Анастасия Батищева

• «Девушки нет — терять нечего»: что происходит в военкомате Барнаула на третий день мобилизации

  Видео 20468

  Барнаул

  Анастасия Чебакова

• В Магнитогорском драмтеатре рассказали о режиссере Сергее Пускепалисе, погибшем в ДТП

  12904

  Челябинск

  Альбина Хохлова

• Российское оборонное ведомство расширило список тех, кого не будут мобилизировать

  11721

  Калининград

  Белобородько Мария

• Костромские проблемы: в наших лесах исчезли грибы

  11668

  Кострома

• В Петрозаводске идти в военкомат по мобилизационным предписаниям не надо

  7977

  Карелия

  Максим Берштейн

В регионах:Ещё материалы

Персонажи аниме «Атака титанов» (имена, рост, дни рождения, знаки зодиака), сколько серий и сезонов в мультфильме, сюжет манги

«Атака титанов» (Атакующий титан, Attack on Titan, Shingeki no Kyojin) – аниме, снятое по одноименной манге авторства Хаджиме Исаямы. Рассказывает о постапокалиптическом мире, где человечество вынуждено бороться с непобедимыми монстрами-титанами. Люди живут за стенами и думают, что они — последние выжившие, но так ли это на самом деле? Правдива ли история человечества? Являются ли титаны главными врагами людей?

Содержание

1. Сколько сезонов и серий
2. О чем мультфильм
3. Персонажи
4. Эрен Йегер (Атакующий Титан)
5. Микаса Аккерман
6. Армин Арлерт
7. Леви Аккерман
8. Ханджи Зоэ
9. Хистория Райс (Криста Лэнц)
10. Райнер Браун (бронированный титан)
11. Умершие персонажи
12. Эрвин Смит
13. Зик Йегер (звероподобный титан)

Сколько сезонов и серий

В аниме 4 сезона. В первом сезоне 25 серий, во втором — всего 12. Третий сезон разделен на две идейно разных части: в первой 12 серий, во второй 10. В 4 сезоне вышло 16 серий (данные на 2021 год), всего их планируется 22.

О чем мультфильм

Сто лет назад на человечество напали жуткие монстры — титаны, выглядящие как огромные неразумные люди. Выжившие смогли укрыться за тремя стенами — Марией, Розой и Синой.

Главный герой — Эрен Йегер, мальчик, живущий в одном из районов крайней стены, Шиганшине. У него есть приемная сестра Микаса и лучший друг Армин. Аниме начинается с того, что за пятидесятиметровой стеной появляется колоссальный по размеру титан и ломает ворота. Мирная жизнь людей разрушена, все они стремятся на баржи, чтобы спастись, но не тут-то было: из-за ворот появляется бронированный титан и рушит ворота стены Мария.

В результате погибла почти пятая часть населения человечества, но Эрену, Микасе и Армину удается спастись. Главная тройка записывается в разведкорпус — военную организацию, устраивающую вылазки за стены. Спустя пять лет Эрен обнаруживает в себе силу титана.

В ходе одной из экспедиций за стены выясняется, что существуют другие разумные титаны, один из которых — женская особь, вражеская шпионка Энни из того же 104-ого учебного. Позже один из друзей Эрена Райнер признается, что сам является бронированным, а его друг Бертольд — колоссальным. Обоим позже удается сбежать на «родину, которой уже нет», что намекает о существовании мира за стенами.

Невзрачная разведчица Криста говорит, что ее настоящее имя – Хистория Райс. Разведкорпус проводит расследование, в ходе которого выяснится, что Райсы — настоящий королевский род и что они из поколения в поколение передавали силу титана-оборотня на подобии той, что есть у

Эрена. В ходе военного переворота Хистория встает на престол и становится королевой, а главные герои начинают узнавать о титанах страшную правду.

Происходит битва за возвращение стены Мария. Она оканчивается победой, но с огромными потерями — из нескольких сотен вернулось всего девять человек. Эрен узнает, что его отец Гриша Йегер хранил в подвале страшный секрет — дневник о мире за стенами. Оказалось, все, что человечество знало до этого — ложь, а настоящие враги людей на титаны, а государство Марлия.

Спустя четыре года повзрослевший Эрен и люди с острова Парадиз (так называли людей за стенами во внешнем мире) устраивают атаку на Марлию, убивая при этом послов других государств. На Парадиз ожидается объединенная атака всего мира, Эрен же настраивает против себя всех своих друзей и военную верхушку. На Парадизе происходит революция, виновником которой будет Эрен Йегер. Примечательно, что к этому моменту аниме меняет свою идейную и жанровую принадлежность — больше нет плохих титанов и хороших людей, есть только серая мораль. У «хороших» есть недостатки, «плохим» можно сочувствовать. Такая смена стилистики происходит на удивление органично, так как задумывалась Исаямой изначально.

Персонажи

Эрен Йегер (Атакующий Титан)

Эрен Йегер — главный герой данной манги и аниме. Изначально он слегка глуповат и импульсивен, но позже подвергается деконструкции. Эрен одержим идеей свободы, поэтому он вступил в разведку. Внезапно обнаруженные силы титана юноша использует на благо человечества, а также чтобы отомстить за мать. После этого он переживает череду предательств и постоянно проигрывает, но позже, когда он понимает, что жил во лжи и видит океан, все меняется.

Эрен пробирается под видом контуженного солдата во вражескую державу Марлии и проходит через то же, что и его бывший товарищ Райнер. Теперь Эрен холоден и расчетлив, он без за зрения совести убивает невинных и улетает на Парадиз. Там главный герой настраивает против себя своих друзей и начинает революцию.

В скобках указаны данные на момент четвертого сезона.

Рост: 170 (183) см.

Возраст: 15 (19) лет.

День рождения: 30 марта.

Знак зодиака: Овен.

Кадр из фильма.

Микаса Аккерман

Микаса — лучшая подруга Эрена, влюбленная в него. В детстве Эрен спас ее от похитителей и пробудил в ней силу Аккерманов — древнего рода, служившего королю. Как правило, она спокойна и сдержанна. Ее отличает преданность Эрену и огромная физическая сила, что не раз подчеркивается в самом аниме. Влияние Микасы на сюжет достаточно пассивно — в основном она выполняет роль телохранительницы Эрена.

Рост: 170 (176) см.

Возраст: 15 (19) лет.

День рождения: 10 февраля.

Знак зодиака: Водолей.

Кадр из фильма.

Армин Арлерт

Армин – лучший друг Эрена и Микасы. Отличается своим логическим мышлением и острым умом. Он не силен физически, но силен духом. По воле случая он перенял способность Бертольда и стал колоссальным титаном, что сильно давит на него, ведь ради него, по мути, пожертвовали самим командующим Эрвином Смитом. Удивительно, но два этих персонажа необычайно похожи – оба в детстве потеряли родителей из-за желания узнать правду, оба получили свою мечту, ради которой они продолжали жить, оба талантливые командующим и оба крайне умны. Неудивительно, что со временем Армин теряет свою чуткость окончательно и во время атаки на Либерио соглашается убивать детей, от чего отказались Саша и Микаса.

Рост: 162 (168) см.

Возраст: 15 (19) лет.

День рождения: 3 ноября.

Знак зодиака: Скорпион.

Кадр из фильма.

Леви Аккерман

Леви – капитан из разведкорпуса, исключительный солдат за службе Парадиза. В основном не особо эмоционален, немного груб, но не циничен – шутит обычно прямо на не самые приятные темы. Большую часть времени выступает ментором протагониста. Под его руководством Эрену пришлось выбрать, положиться ли на отряд Леви или самому попробовать побить титана женскую особь. По всем законам жанра сёнэн Йегер решает положиться на товарищей, но это приводит только к жертвам. Леви неоднократно заостряет внимание на том, что выбор Эрена играет чуть ли не главную роль, но при этом правильного выбора нет. Жалеть о прошлом – гиблое дело, а посему выбор необходимо делать без сожалений. Об этом рассказывает один из спиноффов о прошлом капитана.

Рост: 160 см.

Возраст: чуть за 30.

Кадр из фильма.

Ханджи Зоэ

Ханджи – текущая командующая разведкорпусом, заняла пост после смерти Эрвина. Обычно она весела, доброжелательна и эмоциональна, хороший лидер. Её страсть – изучение титанов, переходящая в фанатизм, из-за этого Ханджи часто подвергала себя опасности. По словам Исаямы, она одна из умнейших персонажей всего аниме. Под её руководством были созданы громовые копья, ловушка для женской особи.

Рост: 170 см.

День рождения: 5 сентября.

Знак зодиака: Дева.

Кадр из фильма.

Хистория Райс (Криста Лэнц)

Хистория – девушка из 104 кадетского корпуса, позже вступила в разведку. Изначально она представилась как Криста Лэнц, так как была вынуждена скрывать свое имя. Хистория добра и бескорыстна, окружающие безоговорочно любят её и даже называют богиней. Не раз обыгрывается шутка, что Райнер хотел жениться на ней. Но ближе всего она была с Имир, которая оказала на Хисторию огромное влияние.

Выясняется, что Хистория была незаконнорожденной дочерью аристократа (как окажется позже – истинного правителя Стен). Тот манипулирует ей, чтобы Хиса стала титаном и получила силу Эрена, проглотил его, но в последний момент она вспоминает слова Имир и откидывает инъекцию на пол. Позже она сама добивает ставшего титаном отца и восходит на престол. Впрочем, истинная власть все ещё в руках военных, а сама королева Хистория предпочитает помогать сиротам.

Рост: 145 см.

Возраст: 15 (19) лет.

День рождения: 15 января.

Знак зодиака: Козерог.

Кадр из фильма.

Райнер Браун (бронированный титан)

Райнер – засланный шпион Марлии, служивший на Парадизе. Был близок с солдатами из 104 учебного корпуса, но предал их. Сочетает в себе идеи двойственности и никогда не имел личных идеалов – он всегда сражался за мечту своих близких. После осознания своей роли убийцы, монстра и возвращения в Марлию, он полностью теряет волю к жизни. Райнер почти выстреливает себе в голову, но все-таки решает жить ради младшего поколения, чтобы те не повторили его судьбу.

Райнер проходит путь обыкновенного протагониста аниме и развивается параллельно с Эреном. Они оба жили среди врагов и оба предали, но в отличие от Эрена, Райнер не знал, на что идёт.

Рост: 185 (188) см.

Возраст: 17 (21) лет.

День рождения: 1 августа.

Знак зодиака: Лев.

Кадр из фильма.

Умершие персонажи

Эрвин Смит

Эрвин – бывший командующий разведкорпуса. Он умный стратег, под его командованием боевые потери разведки снизились до минимума. Эрвин – отличный лидер, настолько, что перед смертью смог вдохновить новобранцев пойти на самоубийственный шаг ради миссии. Кстати, хоть Эрвин и старается максимально уменьшить потери, он готов пожертвовать всем ради достижения своей миссии. За это он пользовался большим уважением даже главнокомандующего всей военной структуры Дариуса Закклая. Главная цель Эрвина, однако, эгоистична – узнать правду о мире, сделать жертву собственного отца не напрасной.

Рост: 188 см.

День рождения: 14 октября.

Знак зодиака: Весы.

Кадр из фильма.

Зик Йегер (звероподобный титан)

Зик – сводный брат Эрена по отцу, рождённый в гетто Либерио на территории Марлии. Его мать Дина Фриц была из королевского рода, благодаря этом Зик может превращать элдийцев в титанов с помощью своей спинномозговой жидкости. Его отец, Гриша Йегер, в детства учил Зика идеологии реставраторов Элдии, подпольной революционный организации. Зик должен был стать воином, но на уроках его учили «ложной» истории о том, какие элдийцы плохие. Разумеется,

мальчик запутался в себе и людях, сдал родителей и всех своих друзей охране гетто, стал воином и решил таким образом освободить элдийцев от проклятия титанов.

Несмотря на скрытый патриотизм, Зик крайне жестокий, даже садистичный человек. Он без колебания приказал титанам разорвать офицера из разведки на части, когда тот перестал быть полезен; он лично раздавил камнями минимум 49 новобранцев, а также Эрвина Смита. Его абсолютно не волнуют ни жертвы Марлии, ни жертв его народа с Парадиза. Зика ведёт лишь его цель спасти Элдию, это его и губит.

Рост: 183 см.

Возраст: 25 (29) лет.

День рождения: 1 августа

Знак зодиака: Лев.

Кадр из фильма.

Оцените фильм:

Теоретическая криптография в реальных условиях

«Все всегда идет не по плану» – один из главных принципов, которым стоит руководствоваться при любом планировании. Вспомните, когда в последний раз заранее распланированный день прошел ровно так, как вы и предполагали? Даже если, казалось бы, все форс-мажоры предусмотрены, на деле что-нибудь да произойдет.

Ровно такие же «форс-мажоры» возникают и при решении криптографических задач. Сотни ученых могут годами продумывать все до последней мелочи, но реальность все равно преподнесет сюрприз. Во многом именно бесконечный цикл, состоящий из череды выработки новых криптографических решений, выявления уязвимостей и последующего их устранения так привлекает людей в криптографию.

Например, любопытен эпизод из истории развития всем известного протокола TLS. Первое математическое доказательство безопасности схемы защиты данных, используемой в TLS 1.1, было приведено Кравчиком в 2001 году. Но уже менее чем через год была предложена атака, показавшая нестойкость протокола именно в части защиты данных!

Более детальным расследованием этой захватывающей истории мы займемся во второй части нашей статьи (но, забегая вперед, сообщим, что репутация всеми уважаемого Кравчика в итоге будет полностью восстановлена).

К сожалению, такие казусы не являются чем-то редким в криптографии, а упомянутая выше уязвимость оказалась далеко не последней для многострадального TLS. Каждый год на криптографических конференциях и семинарах представляются новые крайне удивительные атаки, существование которых, на первый взгляд, противоречит теоретическим исследованиям (см. [1, 2, 3]), а фиксы OpenSSL выходят с завидной регулярностью.

И в этот момент возникает вопрос: так в чем же причина «промахов» криптографов-теоретиков? Если теоретические исследования не дают стопроцентных гарантий безопасности, может, и не стоит вообще тратить на них силы и время?

Прежде чем ответить на этот вопрос, давайте попробуем разобраться, на каких столпах стоит криптография, что такое модель противника и каким образом в мире формируется и расширяется знание о таком сложном и многогранном понятии, как «информационная безопасность».

Кто такая Ева?

Разработка систем, решающих задачи обеспечения информационной безопасности, является крайне сложноорганизованным и трудоемким процессом. В действительности оказывается, что теоретические исследования являются только одним из многих этапов жизни таких систем. Не менее важными являются этапы моделирования, реализации и эксплуатации системы, последний из которых является наиболее значимым с точки зрения обычных пользователей. Каждый из этих этапов опирается на предыдущий и является логическим продолжением своего предшественника: например, этап теоретических исследований невозможен без моделирования, ведь строгость рассуждений требует формализации исследуемых свойств и объектов.

 

Моделирование в криптографии предполагает глубокий анализ всех свойств разрабатываемой системы, всех возможных способов взаимодействия пользователей с ней, а иногда даже физических условий, в которых система будет функционировать. Результатом моделирования является математическая модель системы, включающая в себя, в частности, так называемую модель противника, которая, на самом деле, и определяет, что значит безопасная или стойкая система.

Модель противника складывается из трех составных частей: тип атаки, модель угрозы и предположения о ресурсах, доступных противнику. Все вместе эти три компоненты позволяют четко определить, в каком мире живет наша система: как противник может с ней общаться, что он может от нее узнать, чего именно хочет достичь и какие ресурсы у него для этого есть.

Тип атаки определяет качественные возможности противника, касающиеся его взаимодействия с анализируемой системой. Так, тип атаки определяет, какую именно информацию о системе противник может получать и каким образом он может вмешиваться в процесс ее работы. Примером является тип атаки, при которой противник может перехватывать и модифицировать данные в канале связи. Здесь возможности противника должны учитывать все известные практические и теоретические методы нарушения безопасности исследуемой системы и быть наиболее приближены к тем, которые возникают при использовании системы на практике.

Модель угрозы определяет задачу по нарушению свойств безопасности, которую стремится решить противник. В качестве примеров можно привести подделку подписи сообщения или компрометацию конфиденциальной информации. В случае решения противником поставленной задачи говорят, что он «реализовал угрозу». Модель угрозы отражает представление о том, какие именно ситуации являются нарушением безопасности конкретной системы.

Предположения о ресурсах противника также являются крайне важной частью модели и определяют теперь уже количественные возможности противника. Обычно они определяются целым набором факторов – временными и вычислительными ресурсами противника, размером его программы, объемом информации, которую он может получить в результате взаимодействия с системой (при этом характер этой информации определяется типом атаки). Без этих ограничений было бы совершенно бессмысленно говорить о безопасности большинства систем, используемых на практике, ведь, например, для них всегда существует противник, который, обладая неограниченными ресурсами, может без применения каких-либо сложных методов найти нужный ключ простым перебором.  

Наконец, мы готовы определить, что подразумевается под стойкостью системы. Заметим, что говорить о стойкости системы без привязки к какой-нибудь модели противника совершенно не имеет смысла. Неформально говоря, система называется стойкой в некоторой модели противника, если никакой противник, имеющий определенные моделью возможности и ресурсы, не может реализовать заданную угрозу (то есть вероятность ее реализации достаточно мала).

В реальных условиях

Как только появляется математическая модель исследуемого объекта, возникает возможность применения подходящих математических методов, результаты которых априори являются абсолютно точными (конечно, если автор не наделал ошибок в выкладках и исходные предположения верны). Применение таких методов позволяет выявлять глубинные свойства исследуемого объекта, а при исследовании протяженных во времени процессов, фактически, позволяет предсказывать их будущее. В физике мы предсказываем, за сколько секунд подброшенный вверх камень упадет на землю, а в криптографии – будет ли криптосистема взломана за ближайшие несколько лет. Таким образом, если математическая часть исследований проведена аккуратно и ее результаты не содержат ошибок, то главная причина появления, казалось бы, странных противоречий между теорией и практикой кроется в несоответствии модели противника реальным условиям, в которых система эксплуатировалась на практике.

 

В таких случаях говорят, что модель оказалась нерелевантной.

Подробнее о том, почему теоретические исследования считаются безошибочными

В современной криптографии применяются различные подходы, позволяющие повысить надежность результатов теоретических исследований. Заметные успехи в развитии таких подходов как раз и позволяют нам в рамках настоящего повествования делать предположения о безошибочности теоретических исследований. Один из таких подходов основан на разделении криптографических объектов на базовые примитивы и прикладные протоколы.

Под примитивами обычно понимаются математические объекты, которые сами по себе никакую задачу безопасности не решают, но порождают некоторую сложную чисто математическую задачу. Например, блочный шифр, вопреки распространенному мнению, является просто набором математических объектов (подстановок), который должен быть задан так, чтобы для него была практически неразрешимой так называемая задача отличения от случайной перестановки (PRP). Другим примером является группа точек эллиптической кривой, для которой должна быть сложна распознавательная задача Диффи-Хеллмана (DDH). Оба этих объекта являются криптографическими примитивами. Неприятным свойством криптографического примитива является то, что при сегодняшнем уровне развития теории сложности вычислений и математики в целом оценить сложность задаваемой им задачи в реалистичных условиях невозможно. Поэтому сложность такой задачи формулируется в виде базового предположения, которое держится на отрицательных результатах применения конкретных методов ее решения.

На основе примитивов строятся протоколы и системы, решающие уже вполне прикладные задачи безопасности (например, сокрытие какой-либо информации о шифруемых сообщениях). Вопрос безопасности протокола рассматривается в некоторой модели и сводится к вопросу сложности тех математических задач, которые задают базовые примитивы. При правильном подходе к синтезу протокола корректность шагов такого сведения является вполне доказываемой и проверяемой. Поэтому такой подход обычно называют «доказуемой стойкостью». Подробнее об идеях доказуемой стойкости можно прочитать в работе Белларе.

При этом, не стоит сразу винить людей, отвечающих за этап моделирования – модель может стать нерелевантной (т.е. недостаточно точно описывающей реальность) на любом этапе процесса разработки системы – от идеи до эксплуатации. При этом расхождения между реальностью и моделью могут появляться в любой из трех частей, составляющих модель. Рассмотрим несколько примеров.

Несоответствие типа атаки

Давайте вернемся к примеру, о котором говорилось во введении, и разберемся, где же произошло расхождение между реальностью и моделью, которую Кравчик использовал в своей работе, и где возникла ошибка, породившая это расхождение.

В той самой работе 2001 года доказывается стойкость схемы аутентифицированного шифрования MAC-then-Encrypt, при которой сначала к сообщению присоединяется его имитовставка, а после конкатенация сообщения и имитовставки шифруется в режиме CBC. Особенность режима шифрования CBC в том, что он умеет обрабатывать только строки, которые можно разделить на блоки некоторого фиксированного размера. Поэтому для того, чтобы можно было обрабатывать сообщения любой длины, обычно применяется процедура дополнения (padding): после добавления к сообщению имитовставки получившаяся строка дополняется до необходимого размера по определенному правилу. При обработке сообщения на принимающей стороне сначала осуществляется расшифрование и проверка корректности дополнения, а уже потом проверяется имитовставка.

Меньше чем через год после публикации работы Кравчика была представлена атака padding oracle attack на режим CBC. Она использует возможность получения противником информации о том, возникла ли на принимающей стороне ошибка при проверке дополнения у расшифрованного сообщения. Результатом атаки является нарушение конфиденциальности передаваемых данных. Подробнее об этой атаке можно прочитать здесь и в статьях нашего блога. Первое время считалось, что протокол TLS защищен от padding oracle attack, так как ошибки в нем возвращаются только в зашифрованном виде и поэтому ошибка в дополнении неотличима от ошибки в имитовставке. Однако криптоаналитикам удалось установить, что для большинства реализаций время выдачи ошибки в случае неверного дополнения отличается от времени выдачи других ошибок, так как в случае неправильного дополнения ошибка выдается сразу, и никакие действия далее не проводятся. Эта разница во времени позволила различить ошибки, возвращаемые принимающей стороной, и применить padding oracle attack к протоколу TLS.

В модели Кравчика, однако, не учтено, что противник может получать информацию о том, где конкретно произошла ошибка при расшифровании. Это упущение привело к несоответствию типа атаки реальным возможностям противника, которых оказалось больше, чем предполагала модель. Такие возможности появились ввиду особенностей функционирования системы (порядка обработки ошибок), возникших на этапе ее реализации.

 

Таким образом, вся ситуация, поначалу бросившая тень на работу всеми уважаемого ученого, оказалась далеко не такой ужасной: доказательство Кравчика было абсолютно верным, просто модель, в которой оно проводилось, стала нерелевантной.

Несоответствие модели угрозы

Не менее интересны уязвимости, возникающие из-за несоответствия модели угрозы. Они появляются, если некоторые возможные ситуации не были расценены как негативные. Одним из примеров такой уязвимости является возможность восстановить примерную транскрипцию зашифрованного VoIP-разговора, зная только длины зашифрованных пакетов. Первоначально считалось, что наличие этой информации у противника не представляет большую угрозу по нарушению конфиденциальности и в лучшем случае может раскрыть язык разговора или наличие определенных фраз. Но ученые из университета Северной Каролины установили, что при совместном использовании определенных способов кодирования голосовой информации и поточных шифров, сохраняющих длину сообщения, при помощи компьютерной лингвистики и статистических методов возможно достаточно точно воссоздать транскрипцию всего разговора. Таким образом, ошибка в определении угрозы закралась на самом этапе моделирования. Так как система создавалась для шифрования именно голосовых звонков, такая угроза могла быть замечена уже на начальном этапе разработки криптографического протокола.

Несоответствие предположений о ресурсах противника

Атака Sweet32, в свою очередь, основана на уязвимости, возникающей из-за несоответствия предположений о ресурсах противника. Атака Sweet32 приводит к нарушению конфиденциальности и направлена на режим шифрования CBC, использующий блочные шифры с небольшой длиной блока, например, шифр 3DES или Blowfish с длиной блока 64 бита. Эта атака основана на парадоксе дней рождения и для успешного проведения требует, чтобы соединение с сервером поддерживалось на протяжении порядка 38 часов для отправки около 785 ГБ трафика (на практике секретное значение cookie удалось восстановить даже быстрее – за 30 часов и 610 ГБ). 

При этом еще в 2000 году была опубликована работа, в которой уже приводилась зависимость вероятности взлома режима CBC от количества зашифрованных данных. В те далекие времена даже при использовании 64-битного блочного шифра зашифрование такого объема данных, которого было бы достаточно для взлома режима CBC, являлось в реальности неосуществимым. Поэтому и режим CBC на основе 64-битного блочного шифра считался стойким на практике. Однако со временем ресурсы, требующиеся для осуществления Sweet32, перестали быть фантастическими. Это просто не было замечено, и на этапе эксплуатации появилось несоответствие между моделью и реальностью. Таким образом, на практике ресурсы, доступные противнику, оказались существенно больше, чем это предполагалось в модели.

Следуя Дарвину

Стоит заметить, что после появления публикаций о каждой из уязвимостей, описанных в рассмотренных примерах, сразу же принимались меры по их устранению. Это общая практика для совершенно любой уязвимости, обнаруженной в системе. Появляются работы, в которых исследуются способы устранить проблему вплоть до прекращения использования уязвимых или даже потенциально уязвимых решений (например, в TLS 1. 3 режим CBC не используется), появляются обновленные практические реализации систем. Однако при условии безошибочных теоретических исследований найденные уязвимости запускают и другой не менее важный процесс: анализ несоответствия модели противника реальным условиям и ее последующее расширение, которое будет использоваться уже в рамках нового витка теоретических исследований. Такой процесс, по сути, представляет собой эволюцию модели противника.

Таким образом, в реальности разработка системы – это замкнутый цикл, при котором после интеграции решений идет не менее важный процесс эксплуатации, тоже вносящий свои коррективы. В процессе эксплуатации наши знания о возможностях противника и свойствах безопасности могут значительно расширяться, причем иногда в результате взлома системы по итогам сторонних или внутренних исследований. Такие «открытия» запускают новую итерацию жизненного цикла системы.

Но не стоит относиться к такому порядку разработки как к чему-то страшному и считать ее цикличность признаком несовершенства процесса. Криптография не отличается от других наук – аналогичная ситуация встречается повсеместно. Лишь одним из примеров является развитие представления людей о форме Земли как одной из самых осязаемых и доступных широкому пониманию моделей. Эта модель претерпела эволюцию от модели плоской Земли до модели Земли как шара, затем эллипсоида вращения, а уже после геоида, постепенно отвечая на все новые вопросы человечества: «Почему существует горизонт, за которым ничего не видно?», «Почему по одной траектории доплыть быстрее, чем по другой?» и т.д. В данном случае появление эффекта, который не согласуется с предсказаниями теории, является аналогом взлома теоретически стойкой криптосистемы на практике. Таким образом, теоретические исследования в самых полных на текущий момент моделях противника (и учет их результатов при разработке реальной системы) позволяют увеличить вероятность того, что в случае взлома системы найденная уязвимость углубит наше понимание аспектов информационной безопасности в целом.

Стоит также отметить, что теоретические исследования позволяют предугадать многие атаки прежде, чем они будут реализованы на практике. Например, в 1997 году было показано, что использование режима CBC с предсказуемым инициализирующим вектором является небезопасным. Однако никаких изменений в реализацию протоколов, использующих такой способ шифрования, внесено не было, так как предложенная атака казалась чересчур теоретической. К 2011 году, несмотря на большое количество исследований, предупреждавших о возможности такой атаки на TLS, уязвимость так и не была устранена, и криптоаналитики представили практическую реализацию атаки, получившую название BEAST (о которой также было написано в нашем блоге). Только тогда уязвимость была закрыта. 

В заключение отметим, что каждый этап разработки системы важен и должен взаимодействовать с предыдущими этапами, «прислушиваясь» к их результатам. Такой процесс обеспечивает именно эволюцию знаний, а не простое «латание дыр». Поэтому так важно не пропускать никакой из этапов и уделять должное внимание разработке новых моделей и теоретическим исследованиям.

 

Алексеев Е.К.

Ахметзянова Л.Р.

Божко А.А.

Смышляева Е.С.

КриптоПро

В США готовятся к новым атакам российских хакеров 

В США продолжают сообщать об атаках со стороны российских хакеров. Во вторник агентство Bloomberg сообщило о том, что, связанная с Россией группировка Cozy Bear пыталась взломать веб-ресурсы Национального комитета Республиканской партии США. Федеральные ведомства США также расследуют кибератаку предположительно связанной с Россией группировки REvil, затронувшую сотни американских компаний. Спецслужбы Америки и Британии предупреждают: курируемые Главным разведывательным управлением (ГРУ) России кибератаки на интернет-ресурсы правительства США и политических партий продолжатся.

По информации Bloomberg, за кибератакой на Национальный комитет Республиканской партии США стояла группировка Cozy Bear, которую связывают с Кремлем. Ранее группировку также называли ответственной за взлом электронной почты Национального комитета Демпартии США в 2016 году.

По словам представителя Национального комитета Республиканской партии Майка Рида, об атаке на одного из поставщиков интернет-услуг республиканцев – компанию Synnex, оповестила корпорация Microsoft. Он уточнил, что нет оснований полагать, что какая-либо информация была украдена, но спецслужбы США были проинформированы о происходящем.

Федеральные ведомства США также расследуют кибератаку на базирующуюся во Флориде компанию по производству программного обеспечения Kaseya. Атаку, в результате которой пострадали сотни предприятий малого бизнеса, как в США, так и в других странах, связывают с группировкой REvil. Ранее хакеры REvil, которых подозревают в связях с Россией из-за того, что они никогда не атакуют компании на постсоветском пространстве, парализовали работы крупнейшего мясопроизводителя США – компании JBS.

Спецслужбы США и Великобритании предупреждают, что кибератаки продолжатся. В совместном заявлении, подготовленном Агентством по национальной безопасности США, Агентством по кибербезопасности и защите инфраструктуры и Национальным центром кибербезопасности Великобритании, говорится о разоблачении массированной кампании кибератак, организованной хакерами под эгидой Главного разведывательного управления (ГРУ) России.

По данным ведомств, кампания ГРУ началась в середине 2019 года и затронула сотни государственных и частных объектов, включая правительственные учреждения, военные организации, энергетические компании, учебные заведения, исследовательские центры и СМИ. Частью кампании назвали, в том числе, хакерскую атаку на Solar Winds, называемую одной из крупнейших кибератак в истории.

Как сообщается, значительная часть этой деятельности осуществлялась через облачные сервисы Microsoft Office 365. В частности, хакеры используют метод «полного перебора» (brute force), то есть взлом учетных записей путем подбора логина и пароля.

Как действуют хакеры

«Метод под названием «brute force» – это когда хакеры пробуют всевозможные подходы к взлому вашего аккаунта через подбор пароля, – рассказывает в комментарии для Русской службы «Голоса Америки» эксперт из Международного Университета Флориды Александр Краутер (Alexander Crowther). – Перед этим они выясняют, когда у вас день рождения, какая у вашей матери девичья фамилия, какая у вас была первая машина, и так далее».

По словам собеседника ГА, хакеры идут на любые ухищрения, чтобы получить пароли: «Такие атаки происходят каждый день, речь идет в буквальном смысле о миллионах атак».

Вопросов о связанных с Кремлем хакерах пока больше, чем ответов.

«Являются ли они преступной группой, которая занимается своей привычной преступной деятельностью, пытаясь заработать? Или же доверителями российского правительства, действуя, возможно, и не по прямому указу, но в его интересах?», – рассуждает Краутер.

Борьба с хакерами сложна еще и тем, что демократические страны не могут бороться с хакерами теми же методами, которыми действуют авторитарные режимы, привлекая их на службу.

«Когда Соединенные Штаты хотят расширить наш киберпотенциал, мы создаем специальный аналитический центр и приглашаем специалистов Google или Microsoft «участвовать в его работе», —говорит Александр Краутер. – Когда Китай хочет расширить свой киберпотенциал, он просто приказывает, например, оператору China Mobile, что теперь там будет работать киберполиция из пятидесяти человек. В России же предлагают киберпреступникам либо отправиться в тюрьму, либо работать на правительство».

Однако хакеров рано или поздно настигает правосудие, резюмирует эксперт: «Когда они выезжают за пределы России или Китая, США выдает ордер на их арест, и он исполняется – в соответствии с международными законами».

«Байден должен показать Путину, что хакеров необходимо взять под контроль»

Эксперт Центра стратегических и международных исследований Джеймс Льюис (James Lewis) в комментарии для Русской службы «Голоса Америки» рассказывает, что основная цель кибератак, координируемых российскими спецслужбами – это сбор разведданных.

«Все эти взломы носят оппортунистический характер, хакеры методично ищут уязвимости системы. В частности, некоторые уязвимости ранее ими были найдены в программном обеспечении Microsoft», – говорит Льюис.

Эксперт убежден, что американским властям необходимо отвечать на действия хакеров, однако зеркальный ответ в этом случае не сработает: «Это все равно, что имитировать пиратский акцент при общении с пиратом. Если мы начнем взламывать их в ответ, это, по сути, будет означать кибервойну напрямую с ГРУ, и во-первых, последуют в ответные атаки, во-вторых, они будут использовать это в качестве оправдания своим действиям».

По его словам, президент Джо Байден должен показать Владимиру Путину, что хакеров необходимо взять под контроль.

«Начало процесса было положено на саммите. Президент четко обозначил, что поведение России неприемлемо, и добавил, что США могут принять меры если кибератаки продолжатся. Следующий шаг – это заставить Кремль изменить свое отношение к кибератакам на США, показать, что оно будет сопровождаться рисками для режима, — говорит Льюис. – Также необходимо на уровне Конгресса принять законы, направленные на улучшение кибербезопасности».

По словам эксперта, ответная политика США должна включать возмездие хакерам в виде попыток возврата части платежей, уплаченных вымогателям, при помощи ФБР, а также создание структуры, контролирующей облачные хранилища программ-вымогателей в третьих странах.

«Власти России пользуются услугами киберпреступников»

Российский оппозиционный политик Илья Пономарев в беседе с «Голосом Америки» говорит, что российским спецслужбам известно про большую часть хакерских группировок.

Илья Пономарев

«Они не являются напрямую управляемыми соответствующим управлением Федеральной службы безопасности, но, когда нужно, к ним могут обращаться для того, чтобы они оказали какие-то услуги. Есть своя кибер-группа у военных Главного разведывательного управления для диверсионных кибератак», – говорит Пономарев.

«Я не считаю, что они прямо координируют кибератаки на американскую инфраструктуру – это означало бы прямое объявление войны. О том, что делают частные группировки, власть может знать, а о чем-то они могут и не знать», – полагает собеседник ГА.

По словам политика, «в целом подход российских властей за последние годы окончательно свелся к принципу – “сам дурак”»: «Если американцы, как они считают, не обращают большого внимания на деятельность своих групп, если от них не страдают граждане США, то и мы не будем, а может еще и будем науськивать. Это делается для того, чтобы создать переговорную позицию».

Лучшие атаки на Ransomware

Атаки программ-вымогателей – это большой бизнес. По оценкам, к концу 2021 года атаки программ-вымогателей будут происходить каждые 11 секунд, нанося ущерб до 20 миллиардов долларов. Атаки программ-вымогателей затрагивают не только организации, такие как предприятия, правительства и медицинские учреждения, они также распространяются на клиентов и сотрудников, данные которых также часто страдают от атак такого типа.

В рамках атак программ-вымогателей для шифрования данных и файлов используется вредоносное ПО. В этом плане они отличаются от вымогательства с использованием DDoS-атак (распределенного отказа в обслуживании), цель которых – создать избыточный трафик на объекты жертвы с обещанием прекратить его после получения выкупа.

Некоторые организации предпочитают оплатить выкуп, требуемый программой-вымогателем, хотя это не рекомендуется. Во-первых, нет гарантии, что будет восстановлен доступ к зараженным системам, а во-вторых, получение выкупа стимулирует злоумышленников продолжать эти формы кибератак. Многие компании не обнародуют информацию об атаках программ-вымогателей, и даже если сообщают о них, то не раскрывают размер требований злоумышленников.

Далее будут рассмотрены основные атаки программ-вымогателей с января по декабрь 2020 года.

Атаки программ-вымогателей в январе 2020 года

1. Атака на компанию Travelex

Год начался с атаки на валютную компанию Travelex: ее вынудили отключить все компьютерные системы и полагаться на ручку и бумагу. В результате компании пришлось отключить веб-сайты в 30 странах.

Атакой совершена группой злоумышленников Sodinokibi (также известная как REvil), которая требовала от Travelex 6 миллионов долларов. Злоумышленники утверждали, что получили доступ к компьютерной сети компании за шесть месяцев до атаки, и это позволило им получить 5 ГБ конфиденциальных данных о клиентах, включая даты рождения и номера кредитных карт. Также они заявили, что если Travelex заплатит выкуп, они удалят данные, в противном случае сумма выкупа будет удваиваться каждые два дня. Через семь дней они заявили, что продадут данные другим киберпреступникам.

Сообщается, что компания Travelex заплатила вымогателям 2,3 миллиона долларов в биткойнах и восстановила онлайн-системы после двух недель автономной работы. В августе 2020 года компания объявила о переходе во внешнее управление (британский эквивалент перехода к главе 11) в результате комбинации двух факторов: атаки вымогателей и пандемии Covid-19.

Другие значительные атаки месяца

• Учащиеся Объединенного школьного округа Питтсбурга, штат Пенсильвания остались без доступа в интернет после отключения сетевых систем округа во время праздничных каникул из-за атаки программы-вымогателя.
  
• Пациенты медицинской клиники в городе Мирамар, штат Флорида, получили от киберпреступников угрозы раскрыть их медицинские данные, если не будет уплачен выкуп.

Атаки программ-вымогателей в феврале 2020 года

2. Атака на компанию INA Group

В День Святого Валентина в результате кибератаки были остановлены бизнес-операции компании INA Group – крупнейшей нефтяной компании и сети заправочных станций Хорватии. В результате атаки имело место заражение программой вымогателем внутренних серверов компании с последующим шифрованием.

Атака не повлияла на возможность предоставлять потребителям топливо, однако был нарушен процесс выставления счетов, регистрации использования карт лояльности, выдачи новых мобильных ваучеров и оплаты клиентами определенных счетов.

Сообщается, что атака была вызвана программой-вымогателем Clop. Исследователи в области безопасности считают группу Clop «охотниками на крупную добычу». Этот термин описывает преступные группы, атакующие компании с целью заражения сетей, шифрования данные и требования выкупа в особо крупном размере.

Другие значительные атаки месяца

• Атаке подверглась медицинская компания NRC Health, работающая с 75% из 200 крупнейших больниц США. В ответ компания отключила системы, в том числе клиентские порталы, чтобы предотвратить утечку данных, включающих информацию о заработной плате сотрудников и о возмещении расходов из таких программ, как Medicare.

Атаки программ-вымогателей в марте 2020 года

3. Атака на компанию Communications & Power Industries

В марте выяснилось, что калифорнийская компания Communications & Power Industries (CPI), крупный производитель электроники, подверглась атаке программ-вымогателей.

Компания производит компоненты для военной техники и оборудования; одним из ее клиентов является Министерство обороны США. Атака программы-вымогателя произошла в результате того, что администратор домена компании перешел по вредоносной ссылке, и запустилось вредоносное ПО для шифрования файлов. Поскольку тысячи компьютеров в сети находились в одном несегментированном домене, программа-вымогатель быстро распространилась по всем офисам компании, включая локальные резервные копии.

Сообщается, компания заплатила 500 000 долларов в качестве выкупа. Неизвестно, какая именно программа-вымогатель была задействована при атаке.

Другие значительные атаки месяца

• В Великобритании лондонский Медицинский центр Хаммерсмит (Hammersmith) был атакован группой вымогателей Maze. В Медицинском центре проводятся ранние клинические испытания лекарств и вакцин. Атака произошла всего через несколько дней после того, как группа Maze пообещала не атаковать медицинские исследовательские организации во время пандемии Covid-19. После того, как Медицинский центр отказался выплатить выкуп, группа опубликовала личные данные тысяч его бывших пациентов. В средствах массовой информации цитировали директора Центра Малькольма Бойса, утверждавшего, что он скорее уйдет из бизнеса, чем заплатит выкуп.

Атаки программ-вымогателей в апреле 2020 года

4. Атака на компанию Energias de Portugal

В апреле сообщалось, что жертвой атаки стал португальский энергетический гигант Energias de Portugal (EDP). Киберпреступники зашифровали системы компании с использованием программы-вымогателя Ragnar Locker и потребовали выкуп в размере почти 10 миллионов долларов.

Злоумышленники утверждали, что украли и готовы обнародовать более 10 ТБ конфиденциальных данных компании, если не получат выкуп. В качестве доказательства они разместили скриншоты некоторых конфиденциальных данных на сайте утечки. Предположительно, эти данные включали конфиденциальную информацию о биллинге, контрактах, транзакциях, клиентах и ​​партнерах.

EDP ​​подтвердила факт атаки, но заявила, что доказательства компрометации конфиденциальных данных клиентов отсутствуют. Однако, исходя из того, что кража клиентских данных может обнаружиться в будущем, клиентам была предложена бесплатная защита личных данных от компании Experian в течение года.

Другие значительные атаки месяца

• Cognizant – компания, входящая в список Fortune 500, одна из крупнейших поставщиков ИТ-услуг в различных отраслях, сообщила, что подверглась атаке программ-вымогателей. Атака затронула внутренние системы компании и привела к удалению внутренней директории, что вызвало нарушение в обслуживании клиентов. В отчете о финансовых результатах за второй квартал 2020 года, вышедшем в конце июля, Cognizant сообщила, что выручка в бизнес-сегментах снизилась на 3,4% до 4 миллиардов долларов. Частично это произошло из-за апрельской атаки вымогателей.

Атаки программ-вымогателей в мае 2020 года

5. Атака на компанию Grubman Shire Meiselas & Sacks

В мае Grubman Shire Meiselas & Sacks, юридическая фирма из Нью-Йорка, клиентами которой являются мировые знаменитости, такие как Мадонна, Элтон Джон и Роберт Де Ниро, стала жертвой программы-вымогателя REVil.

Киберпреступники утверждали, что использовали программу-вымогатель REvil или Sodinokobi для кражи личных данных клиентов, включая контрактную информацию, номера телефонов, адреса электронной почты, личную переписку и соглашения о неразглашении. Злоумышленники пригрозили опубликовать эти данные в девять этапов, если не получат выкуп в размере 21 миллиона долларов. Их требование было удвоено до 42 миллионов долларов, когда юридическая фирма отказалась платить.

Сообщается, что среди пострадавших в результате атаки знаменитостей были Брюс Спрингстин, Леди Гага, Ники Минаж, Мэрайя Кэри и Мэри Джей Блайдж. Юридическая фирма заявила, что не будет вести переговоры со злоумышленниками, и обратилась в ФБР для расследования.

Другие значительные атаки месяца

• Университет штата Мичиган подвергся атаке программы-вымогателя NetWalker. NetWalker, также известная как Mailto – это программа-вымогатель, криминальный дебют которой состоялся в августе 2019 года. Злоумышленники заявили, что дают университету неделю, чтобы заплатить выкуп в обмен на доступ к зашифрованным файлам. В противном случае они угрожали утечкой личных и банковских данных студентов университета. В университете отказались платить выкуп, заявив, что прислушиваются к советам правоохранительных органов.

Атаки программ-вымогателей в июне 2020 года

w3.org/1999/xhtml»>6. Атака на компанию Honda

В июне автомобильный гигант Honda подвергся атаке программы-вымогателя Snake (также известной как Ekans), нацеленной на офисы компании в США, Европе и Японии. Как только атака была обнаружена, Honda приостановила определенные производства, чтобы устранить нарушения в компьютерной сети. Злоумышленники использовали программу-вымогатель для доступа и шифрования внутреннего сервера Honda и потребовали выкуп в обмен на предоставление ключа шифрования. Позже Honda сообщила, что никаких доказательств потери личных данных представлено не было.

Другие значительные атаки месяца

• Колумбийский колледж в Чикаго был атакован группой вымогателей NetWalker, которая грозила продать данные студентов в даркнете, если в течение шести дней не будет оплачен выкуп. Колледж признал, что в ходе атаки был получен доступ к личной информации некоторых пользователей, но не уточнил, был ли заплачен выкуп и велись ли переговоры со злоумышленниками.

Атаки программ-вымогателей в июле 2020 года

7. Атака на компанию Orange

В июле Orange, французская телекоммуникационная компания, четвертый по величине оператор мобильной связи в Европе, стала жертвой программы-вымогателя Nefilim. Было атаковано подразделение бизнес-услуг, и корпоративные данные компании Orange были добавлены на сайт Nefilim в даркнете, где подробно указаны все утечки данных, имевшие место 15 июля. Украденные выборки данных клиентов Orange, по словам группы Nefilim, были запакованы в архив размером 339 МБ.

Nefilim – относительно новая группа-разработчик программ-вымогателей, ставшая известной в 2020 году. По заявлению Orange, атака затронула данные около 20 корпоративных клиентов подразделения бизнес-услуг.

Другие значительные атаки месяца

w3.org/1999/xhtml»>
• Правительство города Лафайет в штате Колорадо объявило в августе, что заплатило злоумышленникам 45 000 долларов после того, как устройства и данные были зашифрованы с помощью программ-вымогателей. Плата была произведена за получение ключа дешифрования после того, как не удалось восстановить системы из резервных копий. Правительство решило заплатить выкуп, чтобы свести к минимуму длительные перебои в обслуживании жителей. Тип использованной программы-вымогателя указан не был, однако в сообщении о сбоях говорилось, что были выведены из строя сетевые системы города. Атака повлияла на все, от систем онлайн-платежей до электронной почты и телефонных служб. Считается, что причиной стало фишинговое мошенничество или атака методом подбора пароля.

Атаки программ-вымогателей в августе 2020 года

8. Атака на университет штата Юта

В августе стало известно, что Университет штата Юта заплатил киберпреступникам выкуп в размере 457 000 долларов, чтобы они не раскрыли конфиденциальные файлы, украденные во время атаки с использованием программ-вымогателей. В рамках атаки были зашифрованы серверы факультета социальных и поведенческих наук, а злоумышленники украли незашифрованные данные до того, как зашифровать компьютеры.

Поскольку украденные данные содержали информацию о студентах и ​​сотрудниках, университет решил заплатить выкуп, чтобы избежать утечки информации. Кроме того, всем студентам и сотрудникам пострадавшего факультета было рекомендовано следить за своей кредитной историей на предмет мошенничества и изменить все пароли, используемые в интернете.

Другие значительные атаки месяца

• Компания R1 RCM Inc. подверглась атаке программы-вымогателя. Эта компания, ранее называвшаяся Accretive Health Inc., является одной из крупнейших компаний США по взысканию медицинских долгов, имеет контракты с более чем 750 медицинскими организациями США и обрабатывает личные и медицинские данные десятков миллионов пациентов. В R1 RCM Inc. решили не раскрывать подробности о взломе и о том, какие системы и данные могли пострадать. Однако сообщалось, что при атаке использовалась программа-вымогатель Defray – целевая программа-вымогатель, обычно распространяемая через фишинговые сообщения электронной почты.

Атаки программ-вымогателей в сентябре 2020 года

9. Атака на компанию K-Electric

Сообщается, что в сентябре компания K-Electric, единственная распределительная электроэнергетическая компания в Карачи, Пакистан, подверглась атаке программы-вымогателя от группы Netwalker. Это привело к перебоям в работе биллинговой службы и предоставлении онлайн-услуг энергетической компании.

У компании K-Electric потребовали выкуп в размере 3,85 миллиона долларов, предупредив, что, если деньги не будут выплачены в течение семи дней, размер требований вырастет до 7,7 миллиона долларов. Группа Netwalker опубликовала архив размером 8,5 ГБ с файлами, предположительно украденными во время атаки, включая финансовые данные и сведения о клиентах.

Ранее группа Netwalker атаковала иммиграционные службы Аргентины, различные правительственные учреждения США и Калифорнийский университет в Сан-Франциско (заплативший выкуп более 1 миллиона долларов).

Компания K-Electric подтвердила, что произошел киберинцидент, но сообщила, что все критически важные клиентские службы полностью сохранили свои функции.

Другие значительные атаки месяца

• В результате атаки программы-вымогателя был взломан веб-сайт четвертого окружного суда Луизианы и опубликованы в интернете конфиденциальные документы. Атак была выполнена с использованием программы Conti –относительно новой программы-вымогателя. Документы, опубликованные злоумышленниками в даркнете, касаются свидетелей, присяжных и обвиняемых по текущим делам.

Атаки программ-вымогателей в октябре 2020 года

10. Атака на информационное агентство Press Trust of India

В октябре были взломаны серверы информационного агентства Press Trust of India (PTI), и его работа была приостановлена на несколько часов. Представитель компании охарактеризовал инцидент как массовую атаку программы-вымогателя, нарушившую работу агентства и рассылку новостей подписчикам по всей Индии.

Программа-вымогатель была идентифицирована как LockBit – вредоносная программа, блокирующая доступ к компьютерным системам и требующая выкуп за восстановление данных.

Другие значительные атаки месяца

• Software AG, одна из крупнейших компаний-разработчиков программного обеспечения, подверглась атаке со стороны группы вымогателей Clop, потребовавшей более 20 миллионов долларов. После того, как переговоры не увенчались успехом, злоумышленники опубликовали в даркнете скриншоты данных компании с изображениями отсканированных паспортов и удостоверений личности сотрудников, электронных писем сотрудников, финансовых документов и каталогов внутренней сети компании.

Атаки программ-вымогателей в ноябре 2020 года

11. Атака на Верховный суд Бразилии

В ноябре информационная инфраструктура Верховного суда Бразилии подверглась массированной атаке программ-вымогателей, в результате чего был отключен его веб-сайт.

Злоумышленники заявили, что база данных Суда полностью зашифрована и все попытки ее восстановить будут безрезультатными, а также оставили записку с требованием выкупа и просьбой связаться с ними по адресу электронной почты на сервисе ProtonMail. Злоумышленники также пытались атаковать другие веб-сайты, связанные с правительством Бразилии.

Другие значительные атаки месяца

• Футбольный клуб «Манчестер Юнайтед» попал в заголовки газет, когда выяснилось, что он подвергся кибератаке. Позже клуб подтвердил, что это была атака программы-вымогателя. Однако, несмотря на всю изощренность атаки, у клуба были развернутые протоколы и процедуры на случай такого события. В клубе смогли обеспечить надлежащую киберзащиту, идентифицировать атаку и отключить затронутые системы, чтобы ограничить ущерб и защитить данные.

Атаки программ-вымогателей в декабре 2020 года

12. Атака на компанию GenRx Pharmacy

В декабре GenRx Pharmacy, медицинская компания из Аризоны, предупредила сотни тысяч пациентов о потенциальной утечке данных в результате атаки программы-вымогателя несколькими месяцами ранее. Компания заявила, что злоумышленники удалили ряд файлов, в том числе медицинскую информацию, используемую для обработки и доставки пациентам прописанных продуктов.

Другие значительные атаки месяца

• Whirlpool, крупнейшая компания по производству бытовой техники, подверглась атаке программы-вымогателя со стороны группы Netfilim. В результате атаки сначала были украдены данные, а потом зашифрованы устройства. Позже украденные данные были опубликовали. Они включали документы, касающиеся выплат сотрудникам, запросы медицинской информации и проверки биографических данных.

Атаки программ-вымогателей становятся все более избирательными в отношении жертв и размеров выкупа. Утилита Kaspersky Anti-Ransomware обеспечивает защиту как для дома, так и для бизнеса. Однако, как и в случае с угрозами кибербезопасности, ключевым элементом защиты является бдительность.

Статьи по теме:

• Какие существуют типы программ-вымогателей?
• Крупнейшие атаки программ-вымогателей
• Как предотвратить атаки программ-вымогателей
• Кража и потеря данных

Парадокс дня рождения.

Как эта нелогичная статистика… | Ричард Фарнворт

Как этот противоречащий здравому смыслу статистический «парадокс» связан со столкновениями спутников, доказательствами ДНК и другими совпадениями вероятно, что двое или более будут иметь один и тот же день рождения?

Фото S O C I A L . C U T on Unsplash

Теоретически вероятность того, что два человека родятся в один и тот же день, составляет 1 к 365 (без учета високосных лет и неравномерного распределения дней рождения в течение года), так что вероятность того, что вы встретите лишь горстку людей в вашей жизни, которые наслаждаются тем же днем ​​​​рождения, что и вы. Это заставляет многих людей интуитивно угадывать около 180.

Правильный ответ: всего 23.

Это означает, что в каждом из ваших классов в школе, среди попутчиков в автобусе на работу и среди игроков на футбольном поле более чем вероятно по крайней мере два человека с тот же день рождения.

У людей печально известная плохая интуиция, когда речь идет о вероятности. Доказательством этого является многомиллиардная индустрия азартных игр.

Источником путаницы в парадоксе дня рождения является то, что вероятность растет относительно количества возможных пар людей, а не только от размера группы. Количество пар растет пропорционально квадрату числа участников, так что группа из 23 человек содержит 253 (23 x 22/2) уникальных пар людей. 9-20 — в 100 раз меньше шансов, чем два человека выберут одну и ту же песчинку из всего песка на Земле!

Менее вероятные совпадения

Мы можем обобщить парадокс дня рождения, чтобы посмотреть на другие явления с похожей структурой.

Вероятность того, что два человека имеют одинаковый PIN-код на своей банковской карте, составляет 1 к 10 000, или 0,01%. Однако потребуется только группа из 119 человек, чтобы иметь шансы в пользу двух человек с одинаковым PIN-кодом.

Конечно, эти числа предполагают случайную выборку, равномерное распределение дней рождения и PIN-кодов. На самом деле пик дней рождения приходится на определенное время года, и люди чаще выбирают одни числа, чем другие, для своего PIN-кода. Но отсутствие равномерного распределения на самом деле уменьшает размер группы, который вам нужен.

Если мы уменьшим вероятность совпадения, то размер группы, необходимой для получения равных шансов на столкновение, очевидно, возрастет. Однако она возрастает гораздо медленнее, чем обратная вероятность.

Например, с вероятностью 1 из 10 000 минимальный размер группы равен 119. Для совпадения в 10 раз меньше, минимальная группа составляет 373, или только в 3,15 раза больше. Следовательно, даже при невероятно малых вероятностях размер группы не становится особенно большим. Для шанса один на миллион необходимая группа составляет всего 1178.

Космический мусор

Фото SpaceX на Unsplash

Это имеет значение в области столкновений спутников и космического мусора. Вероятность того, что два конкретных объекта на орбите столкнутся друг с другом в течение года, почти бесконечно мала. Однако, учитывая, что над нашими головами свистит около 5500 спутников и около 900 000 объектов размером более 1 см, столкновения происходят чаще, чем можно было бы ожидать.

Различные правительства могут отслеживать крупные куски космического мусора. Это позволяет выполнять маневры уклонения, чтобы увести активные спутники и космическую станцию ​​от опасности. Но с учетом примерно 20 000 близких подходов в неделю и их роста это может стать все более сложной и дорогостоящей процедурой.

В 2009 году два спутника — российский военный спутник, которому уже 16 лет, и все еще действующий спутник связи Iridium — столкнулись на относительной скорости почти 12 км/с. Оба спутника разлетелись на облака осколков, более 1000 осколков размером с грейпфрут.

Чем больше космического мусора, тем выше вероятность столкновения. И каждое столкновение увеличивает количество кусков космического мусора. Эта петля положительной обратной связи, если она превышает скорость, с которой объекты падают в атмосферу и сгорают, может привести к так называемому синдрому Кесслера. Это цепная реакция, в которой столкновения становятся все более частыми, выбрасывая все больше и больше мусора, пока размещение спутника на низкой околоземной орбите не станет слишком опасным, чтобы осуществимо.

ДНК-доказательства

За последние сорок лет ДНК-доказательства произвели революцию в области судебно-медицинской экспертизы. Когда мы занимаемся своими повседневными делами, мы оставляем за собой след генетического материала, в основном через клетки кожи и волосы. Правительства составляют огромные базы данных «профилей» ДНК, записывая ряд некоррелированных генетических маркеров.

Для некоторых систем вероятность совпадения двух людей по всем зарегистрированным генетическим маркерам оценивается как один к одному триллиону (за исключением однояйцевых близнецов). Учитывая, что это число более чем в 100 раз превышает количество людей на планете, если ДНК человека будет найдена на месте происшествия, вы можете быть уверены, что он там был, верно?

Ну, не обязательно. Следуя предыдущим примерам, крошечная вероятность может превратиться во что-то осязаемое, когда у вас есть достаточно большая группа людей.

В стране размером с США (328 миллионов человек) коэффициент совпадения один к триллиону превращается в шанс 1 к 3000, что у вас где-то там есть генетический «близнец». В 2019 году в США было совершено 16 тысяч убийств. Это означает, что в год, вероятно, совершается около 5 убийств, в которых ДНК преступника идеально совпадает с ДНК другого американца (опять же, за исключением однояйцевых близнецов). Даже с невероятно низкой вероятностью сила Парадокса Дня Рождения означает, что вы не должны осуждать на основании только доказательств ДНК, и необходимо принимать во внимание и другие косвенные доказательства.

Стоит также учитывать, что системы профилирования ДНК значительно улучшились за последние тридцать лет. Ранее при применении технологии часто приводилась вероятность 1 на миллиард. Это дало бы около 5000 убийств с неоднозначностью ДНК.

Атака в честь Дня Рождения

Фото Мауро Сбисего на Unsplash

Парадокс Дня Рождения может быть использован в криптографической атаке на цифровые подписи. Цифровые подписи основаны на так называемой хеш-функции 9.0020 f(x), который преобразует сообщение или документ в очень большое число (хеш-значение) . Затем этот номер объединяется с секретным ключом подписывающей стороны для создания подписи. Кто-то, читающий документ, мог затем «расшифровать» подпись с помощью открытого ключа подписавшего, и это доказывало бы, что подписывающий подписал документ цифровой подписью.

Эти подписи можно использовать для проверки подлинности документа. Читая эту статью на Medium.com, вы прямо сейчас используете цифровую подпись по протоколу HTTPS. Безопасность зависит от сложности поиска другого документа с таким же значением хеш-функции, что и у подписанного оригинала.

Однако парадокс дня рождения позволяет нам потенциально злоупотреблять этой системой, атакуя эту хеш-функцию.

Допустим, Боб — это орган, который подписывает контракты цифровой подписью. Мы хотим обманом заставить Боба подписать мошеннический контракт, не зная об этом, чтобы потом предположить, что он его одобрил. Нам нужно найти два контракта, один законный и один мошеннический, которые производят одно и то же значение хеш-функции при передаче через f(x).

Для каждого контракта мы можем определить множество способов тонкого его изменения без изменения его смысла. Например, вы можете добавить различное количество пробелов в конце каждой строки, немного изменить пиксели в логотипе или внести небольшие изменения в форматирование. В совокупности это дает нам миллионы технически различных, но семантически идентичных документов, которые, по мнению Боба, все получили бы одобрение. Это также дает нам миллионы вариантов мошеннического документа. Если мы найдем пару документов, один законный, другой мошеннический, которые производят один и тот же хеш, то мы можем передать законный документ Бобу для подписи, а затем использовать эту подпись, чтобы «доказать» подлинность мошеннического контракта.

Благодаря парадоксу дня рождения вероятность хотя бы одного конфликта хеш-значений между одним из законных и одним из мошеннических документов намного выше, чем можно было бы ожидать, учитывая огромный диапазон хэш-функции. На самом деле, количество документов, которые вам нужно создать, примерно равно квадратному корню из числа возможных результатов хэш-функции. Это улучшается тем фактом, что ни одна хеш-функция не распределена идеально равномерно, что привело к тому, что многие популярные алгоритмы хеширования стали небезопасными.

Двойное хэширование и проблема дня рождения | Виктор Генин

Проблема дня рождения (также называемая парадоксом дня рождения) связана с вероятностью того, что в наборе из n случайно выбранных людей по крайней мере два человека имеют один и тот же день рождения.

Хотя технически это не парадокс, его часто называют таковым, потому что вероятность этого парадоксально высока.

Задача о днях рождения является ответом на следующий вопрос:

Какова вероятность того, что в наборе из n случайно выбранных людей по крайней мере два человека имеют один и тот же день рождения? При каком наименьшем значении n вероятность не менее 50 % или 99%?

Пусть p(n) будет вероятностью того, что по крайней мере двое из группы из n случайно выбранных людей имеют один и тот же день рождения. По принципу сортировки, поскольку существует 366 возможных дней рождения (включая 29 февраля), следует, что при n≥367 p(n)=100%. Нелогичная часть ответа состоит в том, что для меньших n связь между n и p(n) будет (очень) нелинейной.

На самом деле пороги для преодоления 50% и 99% довольно малы: вероятность 50% достигается всего с 23 людьми и 99% всего с 70 людьми.

Давайте посмотрим, почему это так, предварительно вычислив аналитически вероятность того, что столкновения не произойдет для общего случая, когда есть m возможных значений, и мы наблюдаем n из них. Вышеупомянутый парадокс дня рождения — это частный случай, когда m = 365 и n = 23. Мы хотим знать: какова вероятность того, что мы не увидим никаких столкновений после n наблюдений?

Для больших чисел мы видим, что столкновения происходят очень быстро: в пространстве из 100 000 возможных значений мы достигаем 50% вероятности после менее чем 400 наблюдений. Это должно подчеркнуть важность рассмотрения атак по дню рождения, особенно в случае, когда пространство возможных значений очень велико. Мы можем эмпирически увидеть из этих двух случаев, что количество наблюдений n, необходимое для получения вероятности столкновения 0,5, составляет примерно √m. Вы можете доказать это себе аналитически, взяв уравнение, которое мы вывели выше для вероятности столкновения, приравняв левую часть к 0,5 и перестроив его так, чтобы увидеть связь между n и m.

Большинство криптосистем используют какую-либо хеш-функцию для обработки сообщений. Хэш-функция f не является инъективной, но создается таким образом, что коллизии или случаи, когда x не равно y, f(x)=f(y), трудно обнаружить. Злоумышленник, который может обнаружить коллизии, может получить доступ к информации или сообщениям, которые не предназначены для публичного доступа. Атака дня рождения — это повторение парадокса дня рождения, который измеряет, насколько хорошо выбранная хеш-функция устойчива к коллизиям. Например, предположим, что хеш-функция выбрана с 64-битным диапазоном; то есть его образ представляет собой целое неотрицательное число меньше 2 в степени 64 (2⁶⁴). Сколько значений нужно вычислить злоумышленнику, прежде чем вероятность коллизии превысит 50%?

√m даст 2³², что представляет собой значительное улучшение по сравнению с используемыми размерами. Например, 2³² примерно в 4 раза больше 10⁹, а 2⁶⁴ больше 10¹⁹. Эта уязвимость требует использования большого диапазона хэшей в практических приложениях.

Цифровые подписи могут быть подвержены атакам дня рождения. Сообщение m обычно подписывается путем сначала вычисления H(m) , где H является криптографической хэш-функцией, а затем с использованием некоторого секретного ключа для подписи H(m). Предположим, Алиса хочет обманом заставить Боба подписать мошеннический контракт.

Алиса готовит честный контракт м и мошеннический м’ . Затем она находит ряд позиций, в которых m можно изменить без изменения смысла, например, вставить запятые, пустые строки, один или два пробела после предложения, заменить синонимы и т. д.

Комбинируя эти изменения, она может создать огромное количество вариаций на м , которые все честные контракты. Точно так же Алиса может внести некоторые из этих изменений на м’9.0020, чтобы еще больше приблизить его к м , то есть H(m) = H(m’) .

Следовательно, теперь Алиса может представить Бобу на подпись честную версию m . После того, как Боб подписал, Алиса берет подпись и прикрепляет к ней мошеннический контракт. Эта подпись доказывает, что Боб подписал мошеннический контракт.

Биткойн использует двойной хэш, или SHA256², чтобы преодолеть проблему дня рождения, что, к сожалению, не так. Если у вас есть два значения, которые хэшируют с одним и тем же результатом, формируя атаку дня рождения или коллизию, они все равно будут конфликтовать. Это просто показать. Предполагается, что у нас есть два значения X и Y. Для данной хэш-функции у нас есть коллизия, такая что:

 A == Хэш(X) == Хэш(Y). 

Теперь, учитывая результат, что и X, и Y хэшируют одно и то же значение, A, мы можем легко увидеть, что никакие процессы двойного хеширования или квадратного хеширования не помогут:

 Hash(A) == Hash[Hash( X)] == Хэш[Хэш(Y)].  

На самом деле мы теряем один бит информации для дополнительной операции хеширования. Можно сказать, что если мы повторяем хэш n раз, вероятность коллизии возрастает в n раз. Я позволю себе некоторую вольность, и математика, связанная с тем, что я объяснил, не совсем точна, но это правда, что каждый раз, когда мы перефразируем функцию, используя та же хэш-функция , мы теряем защиту от коллизий для функции. На самом деле, если мы посмотрим, как создаются адреса в биткойнах, мы увидим, что функция двойного хеширования еще больше усиливает эффект. Другими словами, хэш хэша в сценарии с большей вероятностью приведет к коллизии, чем одиночный хеш или даже хеш той же хеш-функции (двойной хеш).

Фергюсон и Шнайер (Практическая криптография) предложили использовать функцию двойного хеширования в качестве средства защиты от атак с расширением длины с помощью SHA-256 и назвали ее SHA-256d. Хэш-функции Меркла-Дамгарда, такие как MD5 или SHA-256, уязвимы для такой атаки. Если бы это было проблемой, мы могли бы использовать HMAC, который, как доказал Михир Белларе, является PRF при единственном предположении, что функция сжатия является PRF. Таким образом, HMAC-MD5 не имеет тех недостатков, которые были обнаружены в MD5.

Чтобы избежать такой атаки, на выходе хеш-функции должна быть очень длинная последовательность битов, чтобы атака дня рождения стала вычислительно невыполнимой, или использовать двойное хеширование, но только разных функций.

Первоначально опубликовано по адресу https://deeprnd.blogspot.com 16 мая 2019 г.

С Днем Рождения, больше нет выкупа!

Сегодня проекту No More Ransom (NMR) исполняется три года. Anomali присоединилась к партнерству No More Ransom 25 марта, и с тех пор организации и сообщество в области информационной безопасности в целом продолжают наблюдать разрушительные инциденты с программами-вымогателями по всему миру. Эти инциденты обычно вызывают сложные усилия по исправлению, операционные головные боли и потенциально большие потери доходов. Самая последняя активность программ-вымогателей не вызывает удивления по сравнению с тем, что наблюдалось ранее: жертвы охватывают все отрасли и вертикали всех размеров по всему миру.

Рисунок 1. Известные общедоступные инциденты с программами-вымогателями от 26 марта 2019 г. . Кроме того, существует множество онлайн-площадок, где можно использовать программу-вымогатель как услугу (RaaS) и платить другим за проведение кибератак. Масштаб этой угрозы становится очевидным, когда мы смотрим на активные наблюдаемые данные (домены, IP-адреса, хэши, URL-адреса и т. д.) за последние 90 дней на платформе Anomali ThreatStream, которая показывает около 460 000 индикаторов, помеченных тегом «программы-вымогатели» от Anomali Threat Research и более широкой сети Anomali Preferred Partner.

Недавние подтвержденные выплаты выкупа также обратятся к субъектам киберугроз и группам, обладающим возможностями и потенциальными намерениями. Хотя на недавней конференции мэров США, которая проходила с 28 июня по 1 июля, была принята резолюция против «выплаты выкупа в случае нарушения безопасности ИТ». Мы ждем, чтобы увидеть, будет ли этот шаг продвигаться другими организациями и сообществами. Резолюция следует общим рекомендациям отрасли информационной безопасности и правоохранительных органов, поскольку выплата выкупа служит подтверждением того, что заражение было успешным, нет никаких гарантий, что процесс дешифрования будет работать или будут предоставлены ключи, и, в конечном счете, это дополнительное финансирование кибербезопасности. субъекты угроз и потенциально другая незаконная деятельность.

Рисунок 2. Инфографика о ходе третьей годовщины No More Ransom

Мы с нетерпением ждем продолжения поддерживающего партнерства с No More Ransom.

Руководство по предотвращению программ-вымогателей:

1. Убедитесь, что у вас есть запасной план. Для данных и файлов, которые вы считаете важными или конфиденциальными, создавайте и храните резервные копии безопасным образом.
2. Предприятие должно поддерживать эффективную позицию глубокоэшелонированной защиты, соответствующую удовлетворительным принципам управления рисками. Это будет включать, помимо прочего, использование инвентаризации активов и программного обеспечения, надежную защиту конечных точек, управление исправлениями, сегментацию сети и контроль периметра, ввод в действие аналитики киберугроз и, наконец, надлежащее управление учетными записями и механизмами аутентификации.
3. Всем следует опасаться ссылок и вложений в электронных письмах, особенно тех, которые приходят от неизвестных отправителей или с необычными запросами.
4. Будьте в курсе последней информации о киберугрозах. Подпишитесь на еженедельный брифинг Anomali Threat Briefing и активно участвуйте в авторитетных отраслевых и региональных сообществах по обмену информацией об угрозах.

Рис. 3. Инфографика к третьей годовщине No More Ransom

 

Ссылки:

https://www.europol.europa.eu/newsroom/news/no-more-ransom-108-million-reasons-to-праздновать-его-третью годовщину

https://threatpost. com/ second-florida-city-pays-hackers-500k-post-ransomware-attack/146018/

http://legacy.usmayors.org/resolutions/87th_Conference/proposedcommittee-preview.asp?committee=Criminal%20and%20Social% 20Justice

Ссылки на рис. 1:

https://www.bleepingcomputer.com/news/security/ransomware-hits-garage-of-canadian-domain-registration-authority/

https://www.bleepingcomputer.com/news/security/unnam3d-ransomware-locks-files-in-protected-archives-demands-gift-cards/

https://www.databreaches.net/ia- Southern-Hills-eye-care-notifys-patients-of-ransomware-attack/

https://www.albanyny.gov/newsandevents/news/19-03-31/City_of_Albany_Outlines_Service_Availability.aspx

https://techcrunch .com/2019/04/02/arizona-beverages-ransomware/

https://www.bleepingcomputer.com/news/security/genesee-county-michigan-recovering-from-ransomware-attack/

https://www.scmagazine.com/home/security-news/data-breach/ransomware-attack-on-software-company-residex-may-have-exposed-data-on-assisted-living- Residents- рабочие/

https://www. zdnet.com/article/cyber-security-firm-verint-hit-by-ransomware/

https://www.wsj.com/articles/weather-channel-knocked- вне эфира в течение часа-11555611840

Augusta cyber-attacker sought more than $100,000 in ransom

https://www.a2hosting.com/blog/windows-service-update/

https://www.newschannel10.com/2019/04/23/potter-county-officials-computers-remain-dark-after-viruses-hit/

https://techcrunch.com/2019/04/ 23/aebi-schmidt-ransomware/

Ransomware takes down servers at local school district

https://www.news5cleveland. com/news/local-news/cleveland-metro/ransomware-infected-cleveland-hopkins-international-airports-computing-systems-fbi-confirms

https://www.14news.com/2019/04/29/malware-attack-daviess-co-library/

https://wolterskluwer.com/company/newsroom/news/2019/05/media-statement—network-and-service-interruptions.html

https://abhomes. net/databreach/

https://finance.yahoo.com/news /southeast-council-alcoholism-drug-dependence-000000877.html

https://okcfox.com/news/local/documents-show-some-of-the-cost-of-okcps-ransomware-attack

https://eu.courier-journal.com/story/news/local/2019/05/20/louisville-regional-airport-authority-hit-ransomware-attack/3747589002/

https://www.nytimes .com/2019/06/19/us/florida-riviera-beach-hacking-ransom.html

https://www.eurofins.com/media-centre/press-releases/2019-06-10/

Inside the cyberattack at Estes Park Health

http://www.auburn-reporter.com/news/ransomware-takes- вниз-каштановый-продовольственный банк-сеть-но-сообщество-шаги-вверх/

http://www.asco.be/news

https:// healthitsecurity.com/news/ohio-provider-pays-75k-ransom-after-serious-hack-on-it-system

https://www. kveo.com/news/local-news/city-ransomed-by -hacker/2069644320

https://www.scmagazine.com/home/security-news/ransomware/report-ransomware-attack-disrupts-georgias-court-system/

https://www.thenewsdispatch.com/ новости/статья_d9809e48-7e8d-52d5-9d08-5d6c1adab2a2.html

https://www.bleepingcomputer.com/news/security/monroe-college-hit-with-ransomware-2-million-demanded/

https://www .wmcactionnews5.com/2019/07/18/city-collierville-files-attacked-by-ransomware/

SWEET32 Атака в честь дня рождения: как устранить уязвимость TLS

Более 80% веб-сайтов в Интернете уязвимы для взлома атаки. В нашей роли инженеров поддержки хостинга для веб-хостов мы периодически проверяем безопасность и обновляем серверы, чтобы защитить их от взлома.

Недавняя ошибка, затрагивающая серверы – это  SWEET32  уязвимость. Эта ошибка, использующая слабый шифр 3DES-CBC в шифровании TLS, вызвала у многих владельцев серверов панику по поводу безопасности их данных.

Если вы видите, что ваш веб-сайт не проходит проверку безопасности с этим сообщением, это означает, что ваш сервер уязвим для атак SWEET32.

«Сервер SSL/TLS поддерживает короткие блоки (атака SWEET32)»

Посмотрите, как мы защищаем ваши серверы!

Что такое атака дня рождения SWEET32?

По умолчанию на серверах включен шифр 3DES-CBC в TLS . Это делает HTTPS-соединения на этих серверах уязвимыми для этой ошибки SWEET32.

Затем хакеры могут легко расшифровать ваши ценные данные с помощью метода, называемого Атака дня рождения . Вот как это работает:

Веб-сервер шифрует данные с помощью криптографических ключей. Эти ключи выбираются случайным образом, и вероятность того, что любые два клиента получат один и тот же ключ, очень мала.

Злоупотребление  SWEET32 уязвимостью , злоумышленник может отправить большой объем фиктивных данных и получить блоки зашифрованного текста, совпадающие с данными клиента.

Чтобы разбить его:

1. Злоумышленник прослушивает все данные, отправленные вашему клиенту.
2. Злоумышленник отправляет фиктивные данные на ваш сервер до тех пор, пока ключ, используемый для клиента, не совпадет с сеансовым ключом злоумышленника.
3. После совпадения конфиденциальные данные можно расшифровать, определив, как был выбран ключ.

 

Ваши серверы уязвимы для атаки SWEET32?

Протокол OpenSSL использует уязвимые шифры «Triple-DES» для шифрования данных. Поэтому, если ваши веб-серверы, такие как Apache, NginX и т. д., используют OpenSSL с поддержкой уязвимого шифра Triple-DES, ваш сервер может быть атакован.

Если на ваших серверах работают версии OpenSSL до 1.0.1, которые не могут поддерживать надежные шифры, ваши серверы уже уязвимы и для многих других атак, таких как CCS Injection Vulnerability.

Первым делом проверяем версию сервера OpenSSL:

 root@host ~ $ openssl version
OpenSSL 1. 0.1f 6 января 2014 г. 

Чтобы проверить шифры, включенные на сервере OpenSSL, мы используем команду «nmap». Код « 3DES» указывает на наборы шифров  , в которых используется тройное шифрование DES. Это те, которые мы отключаем для безопасности сервера.

Как исправить уязвимость SWEET32

Чтобы защитить конфиденциальную информацию от этой критической уязвимости SWEET32, связанной с атакой дня рождения, мы отключаем все слабые 64-битные блочные шифры. Для повышения безопасности мы разрешаем использовать только стойкие шифры, такие как AES.

Несмотря на то, что OpenSSL отключил поддержку слабых шифров, начиная с версии 1.1.0 и выше, мы видели, что многие серверы все еще используют более старые версии, которые уязвимы.

Для серверов, которыми мы управляем, наши технические специалисты обновляют все серверное программное обеспечение, чтобы защитить их от атак. Если на ваших серверах работают уязвимые версии, вам следует немедленно отключить эти слабые шифры.

 

[ Не ждите атаки. Защитите свои серверы прямо сейчас! Наши специалисты по безопасности серверов мирового класса готовы защитить ваши серверы.  ]

 

Как мы защищаем веб-серверы Apache и Nginx от ошибки SWEET32

Вот как мы защищаем серверы, на которых работает веб-сервер Apache:

1. Отредактируйте файл конфигурации Apache SSL в ‘ /etc/ apache2/mods-available/ssl.conf ‘
2. Перейдите в раздел SSL и убедитесь, что старые протоколы, такие как SSLv2 и SSLv3, отключены.
3. Перейдите к текстовому разделу CIPHER и обновите запись, указав соответствующий «SSLCipherSuite».
4. Перезапустите веб-сервер Apache.

На серверах с веб-сервером NginX делаем следующие шаги:

1. Отредактируем файл конфигурации Nginx ‘/etc/nginx/nginx.conf’.
2. Перейдите в раздел SSL, установите безопасные протоколы и обновите текст шифрования, указав соответствующий список «шифров».
3. Перезапустите веб-сервер после сохранения новых настроек.

 

Как исправить ошибку SWEET32 на серверах RedHat и CentOS

Серверы RedHat и CentOS используют собственный пакет OpenSSL, который обновляется из репозитория с помощью команды «yum». Но версии RHEL/CentOS 5,6,7 используют уязвимые пакеты OpenSSL.

Чтобы узнать версию пакета OpenSSL на сервере, мы выполняем команду:

 root@host ~ $ rpm -qa | grep openssl
openssl-0.9.8e-20.el5_7.1 

Чтобы немедленно смягчить атаку, пока новый защищенный пакет OpenSSL не станет доступен в репозиториях RedHat и CentOS, мы отключаем слабые шифры в службах, использующих SSL.

Службы, которые мы обновляем с помощью надежных шифров, включают веб-серверы, такие как Apache и NginX, почтовые серверы, такие как Exim, сервер POP/IMAP, FTP-сервер и т. д.

 

Исправление уязвимости SWEET32 на серверах Debian и Ubuntu

Ubuntu имеет разные версии, и в них доступны следующие пакеты OpenSSL:

 Ubuntu 15. 10:libssl1.0.0 1.0.2d-0ubuntu1.2
Ubuntu 15.04: libssl1.0.0 1.0.1f-1ubuntu11.5
Ubuntu 14.04 LTS: libssl1.0.0 1.0.1f-1ubuntu2.16
Ubuntu 12.04 LTS:libssl1.0.0 1.0.1-4ubuntu5.32 

Чтобы проверить версию пакета OpenSSL на сервере, мы используем команду:

 dpkg -s openssl 

Если используются старые уязвимые версии, мы обновляем пакет OpenSSL до последней поддерживаемой версии.

Последняя безопасная версия OpenSSL еще не доступна в этих пакетах. Поэтому в качестве немедленной меры мы отключаем слабые шифры во всех общедоступных сервисах с поддержкой OpenSSL.

Защита серверов OpenSUSE от ошибки SWEET32

В OpenSUSE инструмент zypper помогает нам обновлять и устанавливать последние пакеты OpenSSL на сервер.

Мы используем эту команду для обновления вашего сервера Suse:

 # zypper in -t patch secsp3-openssl1-12539=1
 

Чтобы уменьшить уязвимость SWEET32, мы отключаем 3DES и другие слабые шифры для всех общедоступных служб на основе SSL.

 

Как защитить ваш веб-сервер IIS от ошибки SWEET32

Чтобы отключить слабые шифры в веб-сервере Windows IIS, мы редактируем соответствующий ему реестр. Вот как это сделать:

1. Нажмите «Пуск», нажмите «Выполнить», введите «regedit» в поле «Открыть» и нажмите «ОК».
2. Найдите следующий раздел реестра безопасности:

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

3. Перейдите к подразделу SCHANNEL\Ciphers, который используется для управления такими шифрами, как DES и RC4.

4. Отредактируйте подраздел «SCHANNEL\Ciphers\Triple DES 168» и задайте для данных значения DWORD значение 0x0.

Редактирование реестра производится очень осторожно, так как любая ошибка может привести к тому, что сервер перестанет работать. Для того, чтобы обновления вступили в силу, может потребоваться перезапуск сервера.

[ Защитите свой сервер сейчас и избегайте катастрофы! Наши технические специалисты круглосуточно и без выходных готовы защитить ваши серверы от атак.  ]

Действия по ограничению шифров и редактированию реестра могут различаться в зависимости от версии Windows на вашем сервере. Поэтому рекомендуется делать это только с помощью специалиста.

В Bobcares наши эксперты по безопасности специализируются на защите серверов наших клиентов. Делая надлежащие резервные копии реестра и других соответствующих конфигураций, мы гарантируем, что серверы не испортятся.

 

Короче говоря..

SWEET32 — это уязвимость в шифрах 3DES-CBC, которая используется на большинстве популярных веб-серверов. Сегодня мы увидели, как мы исправляем это в популярных операционных системах и веб-серверах.

Старые операционные системы, такие как Windows XP, используют 3DES-CBC для установления соединений. Исследователи показали, что эти соединения можно легко расшифровать.

Bobcares помогает онлайн-компаниям любого размера достичь безопасности и времени безотказной работы мирового уровня, используя проверенные решения. Если вы хотите узнать, как сделать ваш сервер более надежным, будем рады поговорить с вами.

 

Ваш сервер может быть под угрозой!

Без паники! Мы оперативно защитим ваши сайты от атак SWEET32.

НАЖМИТЕ СЕЙЧАС, ЧТОБЫ ЗАЩИТИТЬ СЕРВЕР

var google_conversion_label = «owonCMyG5nEQ0aD71QM»;

Крупнейшие на данный момент нарушения кибербезопасности

Теги: Кибербезопасность Инцидент недели Кибератака Нарушения Фишинг Заполнение учетных данных Программы-вымогатели Wipro Цитрикс Данкин пончики Тойота Брайан Кребс КребсОнСекьюрити Данные нарушения Волмарт Розничная торговля ФБР Нью-Йорк Таймс Советы Лучшие практики Верхнее нарушение Топ нарушений IOTW Безопасность предприятия Инцидент недели Мега-разлом Экспозиция Атака Кибератака Капитал Один Уэлс Фарго Yahoo ДверьDash Хай-Ви Диагностика квеста ЛабКорп Совхоз Данкин Пончики БиоСтар Орегон МДС Несанкционированный доступ Вредоносное ПО Внутренняя угроза Чарльз Ривер Лабс Болгария

Каждую пятницу Центр кибербезопасности просматривает Интернет, чтобы предоставить читателям примечательный «Происшествие недели». они загружены передовым опытом и советами по реагированию на инциденты — будь то, как справиться с ситуацией, а в некоторых случаях — что делать , а не .

После 18 месяцев анализа инцидентов с данными мы делаем паузу, чтобы подвести итоги того, что произошло до сих пор. От распыления паролей до программ-вымогателей и утечек данных (и всего, что между ними) — мы изучили цифры, чтобы понять, что важнее всего для Cyber ​​Security Hub , читатели, и вот ваши главные заголовки о нарушениях кибербезопасности на данный момент, начиная с самой просматриваемой истории и спускаясь вниз.

См. также: Центр кибербезопасности Инцидент недели Архив

[Раскрыты записи: 1066 миллионов | Отрасль: BFSI | Тип атаки: облачная уязвимость]

Основные факты: Компания Capital One установила, что 22 и 23 марта 2019 г. хакер взломал сервер, воспользовавшись уязвимостью конфигурации в брандмауэре веб-приложений. . Этот человек получил доступ к личной информации более чем 100 миллионов клиентов Capital One в США и 6 миллионов в Канаде. В результате этот взлом стал одним из крупнейших за всю историю. Затем, согласно уголовному делу, человек пытался поделиться украденной информацией с другими людьми в Интернете.

Извлеченные уроки : Приложения и службы, перенесенные в облако, должны подвергаться такому же, если не большему контролю, как и внутренние серверы. Любой пограничный слой или интерфейс, такой как брандмауэр, должен регулярно проверяться, чтобы гарантировать, что исправления были применены, а доступ к параметрам конфигурации ограничен.

[Открытые записи: Н/Д | Отрасль: BFSI | Тип атаки: подмена учетных данных]

Краткие факты : Страховая компания State Farm уведомила держателей полисов о том, что она недавно наблюдала попытки входа в учетные записи пользователей, которые были симптомами кибератак с подменой учетных данных. Компания сбросила пароли затронутых учетных записей и разослала уведомления, предупреждающие клиентов о ситуации.

По имеющимся данным, атака была обнаружена Совхозом в июле 2019 года.и никакая личная информация (PII) не была раскрыта. Страховая компания обслуживает более 83 миллионов клиентов в США, хотя число страхователей, пострадавших от атаки, не разглашается.

Извлеченные уроки : Группа безопасности предприятия больше не может рассматривать внутренние угрозы и фишинговые атаки как исключительные векторы атак для компрометации учетных данных. Все чаще злоумышленники сосредотачивают свои усилия на сайтах, предоставляющих услуги отдельным лицам, в надежде, что существуют общие учетные данные. Как организация может защитить себя, если она не была взломана?

Наши эксперты выделяют несколько областей, в которых службы безопасности могут отточить свой подход в ожидании новых атак с подменой учетных данных.

• Дополните обучение по вопросам безопасности, чтобы объяснить, «почему» уникальные учетные данные так важны. Используйте атаки с заполнением учетных данных в качестве доказательства для демонстрации целей кибергигиены.
• Требовать несколько форм проверки подлинности, учитывающих местоположение, физическое устройство/системный актив и личность пользователя. Повторно аутентифицировать пользователей на основе истекшего времени и/или изменения этих параметров аутентификации.
• Проверьте необходимость предоставления доступа к электронной почте и внешним сайтам каждому сотруднику.
• Ограничьте или исключите доступ к приложениям, службам и конфиденциальным данным, не прошедшим эти тесты.

[Открытые записи: Н/Д | Индустрия: ресторан и гостиничный бизнес | Тип атаки: подмена учетных данных]

Краткие факты: Dunkin’ Donuts впервые сообщила об атаке с подменой учетных данных в конце ноября 2018 г.атака. Эта атака, которая произошла в январе, аналогична первой, когда хакеры использовали учетные данные пользователей, просочившиеся на других сайтах, для входа в учетные записи вознаграждений DD Perks.

Тип информации, хранящейся в учетной записи DD Perks, которая позволяет постоянным клиентам зарабатывать баллы и получать бесплатные товары или скидки, включает имя и фамилию пользователя, адреса электронной почты (имена пользователей) и 16-значный номер учетной записи DD Perks. и QR-код.

Согласно ZDNet, хакеры не преследовали личную информацию пользователей, хранящуюся в учетных записях вознаграждений; вместо этого они искали саму учетную запись, чтобы продавать на форумах Даркнета.

Несколько быстрых советов: Согласно совету Trend Micro, вот несколько способов усилить защиту от этих типов атак:

• Соблюдайте правила гигиены паролей. Избегайте повторного использования одной и той же комбинации электронной почты и пароля для нескольких учетных записей в Интернете и часто меняйте свои учетные данные для доступа.
• По возможности включите двухфакторную аутентификацию (2FA). Многоуровневая защита всегда лучше, чем аутентификация с однократным доступом.
• Наблюдайте за своим сетевым трафиком и системой. Значительное увеличение сетевых запросов, доступа или замедления может указывать на атаку. Запустите программное обеспечение безопасности, чтобы найти и удалить вредоносное ПО.

[Раскрыты записи: 1 миллион | Отрасль: Программное обеспечение и технологии | Тип атаки: облачная уязвимость]

Краткие факты : В случае утери или кражи удостоверения личности сотрудников можно заменить. Однако, если просочившиеся данные содержат ваше лицо, отпечатки пальцев или сканирование радужной оболочки глаза, последствия могут ощущаться на всю жизнь. В этом инциденте недели в Центре кибербезопасности исследуются данные, раскрытые 1 миллиону пользователей биометрической платформы BioStar 2.

Извлеченные уроки : Само собой разумеется, что этого нарушения безопасности не должно было произойти. Центр кибербезопасности видит две основные области, вызывающие обеспокоенность, с которыми руководители службы безопасности могут ответить своим командам:

• Манипуляции с системами контроля доступа и журналами
• Удобство приложения для контроля и управления SaaS следует сопоставлять с рисками безопасности. Были ли завершены сторонние оценки рисков для поставщиков SaaS и PaaS?
• Понимание риска и последствий (для SIEM, криминалистики, соответствия и отчетности и т. д.) добавления/изменения/удаления записей в журнале доступа.
• Компрометация биометрических данных пользователя, которые невозможно заменить
• Совместима ли база данных биометрии с другими базами данных аутентификации?
• Какие альтернативные факторы аутентификации приемлемы при отсутствии биометрии?

[Раскрыты записи: 645 000 | Отрасль: Правительство | Тип атаки: Фишинг]

Краткие факты : Министерство внутренней безопасности штата Орегон уведомило около 645 000 клиентов о том, что их личные данные могли быть взломаны во время целевой фишинговой атаки. Девять сотрудников приняли участие в кампании по электронной почте, предоставив свои учетные данные пользователя, что дало хакерам полный доступ к более чем 2 миллионам электронных писем.

Извлеченные уроки : Наиболее распространенные фишинговые электронные письма включают два элемента: ощущение срочности или просьбу о помощи. Это может быть электронное письмо, в котором говорится, что счет просрочен, или электронное письмо, якобы отправленное коллегой с просьбой о помощи в проекте на работе.

Некоторые фишинговые электронные письма настолько умны, что ИТ-специалисты тоже были обмануты. Предприятия могут снизить вероятность успешной фишинговой атаки за счет постоянного обучения сотрудников и программного обеспечения для фильтрации фишинга. Они также должны снизить влияние на организацию успешной атаки за счет защиты конечных точек, двухфакторной (или многофакторной) аутентификации, исправлений безопасности и регулярной смены паролей.

[Раскрыты записи: 3 миллиарда | Отрасль: Программное обеспечение и технологии | Тип атаки: Несанкционированный доступ]

Краткие факты : Согласно веб-сайту Yahoo по урегулированию утечки данных, проблемы кибербезопасности компании, связанные с этим вопросом, распространялись с 2012 по 2016 год. с 2013 по 2016 год, в то время как так называемые вторжения в систему безопасности данных (когда проникновение происходило без получения данных ответственными лицами) происходили по крайней мере с января по апрель 2012 года. так же. Например, в 2012 году два отдельных хакера взломали онлайн-инфраструктуру Yahoo, ничего не взяв.

В следующем году киберпреступники вели себя злонамеренно, взяв записи со всех учетных записей Yahoo, общее количество которых составило около 3 миллиардов. В этом случае информация, захваченная хакерами, могла позволить им получить доступ к таким вещам, как учетные записи электронной почты и календари пользователей.

В 2014 году хакеры атаковали базу данных пользователей Yahoo, затронув около 500 миллионов человек. Сообщается, что киберпреступники получили данные учетных записей, такие как имена людей, адреса электронной почты, пароли, номера телефонов и дни рождения.

Извлеченные уроки : Утечка данных Yahoo была отчасти столь же серьезной, как и из-за плохих методов обеспечения безопасности. Хакеры получили доступ к сети Yahoo с помощью фишинговой схемы. Все, что требовалось, — это один сотрудник с доступом к сети, нажав на вредоносную ссылку, чтобы хакер мог пройти. Оказавшись внутри, хакеры смогли гарантировать себе постоянный доступ к сети. Кроме того, некоторые конфиденциальные данные, включая секретные вопросы и ответы, хранились Yahoo в незашифрованном виде.

Директорам по информационным технологиям следует подготовиться к атакам, использующим социальную инженерию так же часто, как и атаки методом грубой силы. Это потребует от директоров по информационной безопасности обеспечить определенный уровень образования в области кибербезопасности для сотрудников, не занимающихся кибербезопасностью и не обладающих техническими знаниями. Директора по информационной безопасности также должны обеспечить наличие базовых мер безопасности, таких как шифрование идентифицирующей информации.

[Раскрыты записи: до 900 000 | Отрасль: Здравоохранение | Тип атаки: неавторизованный доступ]

Краткие факты : В конце апреля 2019 года компания по страхованию зрения и стоматологических услуг, а также администратор льгот Dominion National расследовали внутреннее предупреждение с помощью сторонней фирмы по кибербезопасности. Результаты показали, что неавторизованные лица могли иметь доступ к некоторым серверам компании с 25 августа 2010 года. Компания не сообщила, что вызвало первоначальное предупреждение. Также не сообщается, сколько из 900 000 клиентов компании, возможно, хранят данные на серверах.

Однако представители Dominion National оценили, какая информация была скомпрометирована во время взлома. Они говорят, что потенциально подверженными риску сторонами являются нынешние и бывшие клиенты Dominion National, а также поставщики медицинских услуг, которые предлагают планы Dominion National своим клиентам. В одном случае связанной стороны, затронутой нарушением, Департамент страхования штата Делавэр заявил, что инцидент может затронуть 10% населения штата.

Извлеченные уроки : Утечки данных — обычное дело, но эта утечка, возможно, хуже, чем у большинства, учитывая, сколько времени рассматриваемые серверы оставались открытыми для киберпреступников. Люди в индустрии безопасности должны рассматривать эту проблему как серьезное напоминание о необходимости тщательно контролировать свои сети и все связанное с ними оборудование на наличие признаков неисправности.

[Открытые записи: Н/Д | Отрасль: Программное обеспечение и технологии | Тип атаки: Несанкционированный доступ]

Краткие факты: 6 марта 2019 года ФБР связалось с Citrix, чтобы сообщить, что у него есть основания полагать, что международные киберпреступники получили доступ к внутренней сети Citrix, согласно Стэну Блэку, CISSP и CSIO Citrix.

В то время как ФБР все еще расследует подробности, thehackernews.com сообщил, что поддерживаемая Ираном хакерская группа Iridium атаковала Citrix в декабре 2018 года и снова на этот раз, похитив не менее 6 терабайт конфиденциальных внутренних файлов, включая электронные письма, чертежи и другие документы.

Связанная с Ираном хакерская группа также стояла за недавними кибератаками против более чем 200 правительственных учреждений по всему миру, нефтегазовых компаний, технологических компаний и других целей.

Запатентованные методы группы хакеров включают обход многофакторной аутентификации для критически важных приложений и служб для дальнейшего несанкционированного доступа к каналам VPN и SSO (Single Sign-On).

Несколько быстрых советов : Вот 6 основных выводов, которые каждое предприятие должно применить в своих организациях, чтобы не стать частью кибератаки с использованием паролей:

• Используйте надежные пароли: придумайте пароль длиной не менее 10 символов, а лучше 16 символов; избегайте использования общей фразы, вашего имени, псевдонима или адреса. Всегда используйте уникальный пароль, никогда не повторяйте и никогда не храните пароли в своем браузере.
• NCSC рекомендует фирмам настраивать защитный мониторинг внешних конечных точек аутентификации, чтобы выявлять атаки с распылением паролей и применять многофакторную аутентификацию на внешне доступных конечных точках аутентификации.
• Поощряйте проверку общих паролей с помощью средства проверки паролей HaveIBeenPwned Троя Ханта или других бесплатных или коммерческих инструментов.
• Рассмотрите возможность использования двухфакторной или многофакторной проверки подлинности.
• Выполните обычную проверку системы, чтобы убедиться в отсутствии легких точек доступа, лазеек или областей, где можно повысить привилегии.
• Убедитесь, что хакеры не добавили никаких дополнительных учетных записей пользователей.

Обновление истории: Согласно Securityweek.com, в настоящее время сообщается, что хакеры имели доступ к сети компании в течение примерно пяти месяцев:

«В уведомлении об утечке данных, представленном Citrix на этой неделе в Генеральную прокуратуру Калифорнии, компания заявил, что хакеры имели периодический доступ к ее сети в период с 13 октября 2018 г. по 8 марта 2019 г.

Компания также подтвердила, что злоумышленники удалили файлы из ее систем. В некоторых из этих файлов хранится информация о нынешних и бывших сотрудниках и, в некоторых случаях, о бенефициарах и/или иждивенцах. Скомпрометированные данные включают имена, номера социального страхования и финансовую информацию.

Неясно, сколько людей пострадало от инцидента, но не менее 500, поскольку калифорнийское законодательство требует, чтобы компании сообщали о нарушениях властям, если пострадало более 500 жителей штата».

Компания Citrix связалась с SecurityWeek и отказалась сообщить, сколько именно затронуто. Компания отметила: «Мы уведомляем всех потенциально пострадавших лиц из соображений осторожности и предоставляем этим лицам бесплатные услуги кредитного мониторинга и защиты от мошенничества, где это возможно».

[Раскрыты записи: 460 000 | Отрасль: Розничная торговля | Тип атаки: подмена учетных данных]

Краткие факты : Fast Retailing — компания, стоящая за несколькими японскими розничными брендами, включая Uniqlo, которая, как было подтверждено в официальном заявлении, является последней жертвой атаки с подменой учетных данных. Компания заявила, что с 23 апреля по 10 мая 2019 года был совершен мошеннический вход в 461 091 учетную запись.

Личная информация клиентов, которые могли быть просмотрены:

• Имя клиента (имя, фамилия, фонетика)
• Адрес клиента (почтовый индекс, город, округ, адрес, номер комнаты)
• Номер телефона, номер мобильного телефона, адрес электронной почты, пол, дата рождения, история покупок, имя и размер зарегистрированы в My Size
• Название доставки (имя, фамилия, адрес), номер телефона
• Часть информации о кредитной карте (владелец карты, срок действия, часть номера кредитной карты). Номера кредитных карт скрыты, за исключением первых четырех цифр и последних четырех цифр. Номера CVV (коды безопасности кредитных карт) не отображаются и не сохраняются, поэтому вероятность утечки отсутствует.

Как только компания определила источник связи, где была предпринята попытка несанкционированного входа в систему, она заблокировала доступ и усилила контроль за другими доступами. Для 461 091 идентификатора пользователя, где могла быть просмотрена личная информация, пароль был признан недействительным 13 мая, и клиентам были разосланы электронные письма с просьбой сбросить пароли. Кроме того, о случае было сообщено в столичное управление полиции Токио.

Извлеченные уроки : С начала 2019 года, уже было несколько успешных атак с подменой учетных данных, которым удалось проникнуть в вычислительные системы TurboTax, Dunkin’ Donuts, Basecamp и Dailymotion, как сообщает bleepingcomputer. В нем говорится, что киберпреступники, стоящие за кампаниями по заполнению учетных данных, разработали их так, чтобы они были полностью автоматизированы, используя большие коллекции украденных учетных данных, купленных на подпольных рынках, чтобы иметь возможность завладеть учетными записями клиентов.

По данным Akamai Research, в 2018 году было зарегистрировано почти 30 миллиардов атак с подменой учетных данных. Вот несколько советов для предприятий, как избежать атак с подменой учетных данных:

• Сотрудничайте с поставщиком надежных решений, чтобы помочь обнаружить и остановить атаки с подменой учетных данных.
• Убедитесь, что защитное решение адаптировано для бизнеса, поскольку преступники будут соответствующим образом корректировать свои атаки, чтобы избежать готовых конфигураций.
• Пользователи должны быть осведомлены об атаках с подменой учетных данных, фишинге и других рисках, которые подвергают опасности данные их учетных записей.
• Бренды должны подчеркивать важность уникальных паролей и менеджеров паролей для клиентов и подчеркивать ценность многофакторной аутентификации.

[Открытые записи: Н/Д | Индустрия: Медиа | Тип атаки: программы-вымогатели]

Краткие факты : в четверг, 18 апреля 2019 г. , прямая трансляция The Weather Channel была отключена примерно на час, согласно The Wall Street Journal , что компания позже подтвердила в отчете. Заявление Twitter было связано с «атакой вредоносного программного обеспечения». Впоследствии ФБР начало расследование атаки программы-вымогателя, которая закрыла прямую программу Weather Channel, что вынудило кабельный канал прибегнуть к записанной на пленку программе.

Извлеченные уроки : Джейсон Глассберг, соучредитель охранной фирмы Casaba Security, рассказал Business Insider, что делать, если вы случайно стали жертвой атаки программы-вымогателя:  

1. Предупредите правоохранительные органы. Хотя они, возможно, не смогут вам сильно помочь, их все же следует поставить в известность о преступлении.
2. Выключите зараженный компьютер и отключите его от сети, в которой он находится. Зараженный компьютер потенциально может вывести из строя другие компьютеры, находящиеся в той же сети.
3. Создайте резервную копию данных на отдельном жестком диске, чтобы иметь возможность восстановить хотя бы те данные, которые были утеряны с момента последней резервной копии. Хотя само вредоносное ПО можно удалить, вернуть ваши данные — это совсем другая история.

Наконец, вы должны решить, будете ли вы платить выкуп, что является очень обсуждаемой темой. «Мы видели много сценариев, когда даже если пользователь платит, он не получает ключи восстановления. Так что это одна из причин, по которой мы говорим нашим клиентам, что платить выкуп — не лучший способ действий», — говорит Стив Гробман, технический директор Intel Security Group.

«Во-первых, выплата выкупа может не привести к тому, что вы вернете свои ключи. Кроме того, вы создаете дополнительные стимулы для преступных элементов, чтобы они продолжали создавать программы-вымогатели, повышали их эффективность и помогали им стать еще более серьезной проблемой в будущем».

[Раскрыты записи: 3,1 миллиона | Отрасль: Производство | Тип атаки: не разглашается., 2019, в котором говорится, что утечка потенциально затронула 3,1 миллиона человек. Компания все еще выясняет, могли ли киберпреступники получить доступ и прочитать данные, но говорит, что взломанный сервер не содержал данных кредитной карты.

Февраль тоже был неудачным месяцем для Toyota, но на австралийском рынке. 21 февраля 2019 года Toyota заявила о попытке кибератаки. Новость пришла из такого же краткого заявления для прессы, состоящего всего из пяти предложений.

Компания заявила, что не верит, что хакеры получили доступ к личным данным клиентов или сотрудников в этом случае. Это также подтвердило, что ИТ-команда Toyota связалась с международными экспертами по кибербезопасности за советом, чтобы разобраться в сути дела.

Извлеченный урок: Поскольку подробностей о том, что произошло в связи с нарушениями кибербезопасности Toyota, очень мало, клиентам лучше проявлять исключительную бдительность в отношении любых сообщений от людей, утверждающих, что они из Toyota или ее дочерних компаний. Нет никакого способа узнать наверняка, но хакеры могут использовать данные клиентов, полученные в результате японского взлома, для организации попыток фишинга.

[Открытые записи: 100 000 | Отрасль: Правительство | Тип атаки: Несанкционированный доступ]

Краткие факты : 10 июня 2019 года представители Таможенно-пограничной службы США (CBP) заявили, что фотографии путешественников были скомпрометированы в результате «злонамеренной кибератаки». CBP широко использует камеры и видеозаписи. в аэропортах и ​​наземных пограничных переходах в рамках растущей программы агентства по распознаванию лиц. Он предназначен для отслеживания личности людей, въезжающих и выезжающих из США.

Извлеченные уроки : Федеральное правительство, ФБР и DHS, а также группа частных подрядчиков имеют доступ к растущей базе данных изображений, таких как те, что были взломаны здесь, включая биометрические данные.

Хотя считается, что это необходимо для повышения безопасности, член палаты представителей Бенни Томпсон (штат Массачусетс), председатель комитета по внутренней безопасности Палаты представителей, сказал: «Использование правительством биометрической и личной информации может быть ценным инструментом только в том случае, если оно используется правильно. К сожалению, это второе серьезное нарушение конфиденциальности в DHS в этом году».

Томпсон имел в виду отдельную утечку, в ходе которой Федеральное агентство по чрезвычайным ситуациям раскрыло информацию о более чем 2 миллионах выживших в США. «Мы должны убедиться, что мы не расширяем использование биометрии за счет конфиденциальности американской общественности».

[Открытые записи: Н/Д | Отрасль: Розничная торговля | Тип атаки: неавторизованный доступ]

Основные факты: ФБР расследует утверждения о том, что сотрудники одного из поставщиков технологий Walmart незаконно отслеживали переписку по электронной почте ритейлера.

The New York Times сообщает, что в конце 2015 — начале 2016 года сотрудники Compucom, назначенные в службу поддержки Walmart, использовали свой доступ для мониторинга определенных учетных записей электронной почты в розничном магазине и якобы использовали эту информацию, чтобы получить преимущество над конкурентами.

Схема была обнаружена после того, как технический специалист Compucom сфотографировал электронное письмо о внутреннем дисциплинарном вопросе Walmart и отправил его сотруднику Walmart, с которым он общался в системе обмена мгновенными сообщениями, согласно документам ФБР.

Извлеченный урок:  Это дело раскрывает потенциальную уязвимость для компаний, которые полагаются на подрядчиков для выполнения технических работ, предоставляя посторонним широкий доступ к конфиденциальным внутренним документам с небольшим контролем в процессе. Это также поднимает вопросы о том, как технические специалисты, нанятые для поддержки компьютерной системы одной из крупнейших в мире и самых замкнутых корпораций, смогли собрать информацию из электронных писем сотрудников.

«Компании с разветвленной коммуникационной сетью, такие как наша, нуждаются в поддержке различных партнеров и высоком уровне доверия», — сказал NYT представитель Walmart Рэнди Харгроув. «Мы полагались на этого поставщика, но его сотрудники злоупотребили своим доступом, и мы хотим, чтобы виновные понесли ответственность».

[Раскрыты записи: 5,3 миллиона | Отрасль: Розничная торговля | Тип атаки: вредоносное ПО для PoS-терминала]

Краткие факты : транзакция на онлайн-базаре с 5,3 миллионами реквизитов платежной карты подтвердила недавние сообщения о том, что клиенты розничной сети Hy-Vee со Среднего Запада США платят за топливные насосы в магазине, едут в кафе- thrus, и рестораны могли стать жертвами атаки и последующей утечки данных.

Hy-Vee управляет более чем 240 розничными магазинами в восьми штатах Среднего Запада, включая Иллинойс, Айову, Канзас, Миннесоту, Миссури, Небраску, Южную Дакоту и Висконсин. На прошлой неделе компания объявила о расследовании инцидента с платежными картами на некоторых заправочных колонках, кафе и ресторанах Hy-Vee, где была обнаружена несанкционированная активность в некоторых из ее систем обработки платежей. Сроки нарушения и круг затронутых потенциальных держателей карт все еще расследуются.

Извлеченные уроки : Сотни миллионов кредитных и дебетовых карт находятся в обращении в Соединенных Штатах. Переход от считывания магнитной полосы карты к требованию комбинации чип + PIN-код (EMV) практически завершен. Однако машины для транзакций в точках продаж не уполномочены выполнять преобразование. Риск скимминга (двойного считывания информации о карте в отдельную базу данных) по-прежнему существует на заправочных колонках и других устаревших транзакционных терминалах.

Соответствие транзакций PCI продемонстрировало отказоустойчивость для транзакций платежных карт, которые придерживаются процесса авторизации чипа EMV + PIN. Комбинация скимминговых и нечиповых POS-терминалов остается для злоумышленников каналом, позволяющим выманивать данные платежных карт у ничего не подозревающих пользователей.

[Раскрыты записи: 190 000 | Отрасль: Программное обеспечение и технологии | Тип атаки: неавторизованный доступ]

Краткие факты : Приблизительно 190 000 пользователей, потенциально затронутых этой проблемой, могли быть скомпрометированы своими именами пользователей и хешированными паролями. Но взломанная информация не включала финансовую информацию.

Внешний анализ проблемы с Docker утверждает, что хакеры, тем не менее, могут нанести существенный ущерб, не имея доступа к банковским реквизитам. Это связано с тем, что у каждой автоматической сборки есть связанный токен, который получает данные из внешнего источника. В выпуске Docker также говорится, что проблема затрагивает некоторых пользователей, у которых есть токены GitHub и Bitbucket, связанные с автосборками Docker.

Несколько быстрых советов: Команды DevOps, которые использовали эти токены, должны вернуться к своим конвейерам и проверить наличие признаков необычной активности.

Извлеченные уроки : Возможный широкий охват инцидентов, подобных этому, заставляет компании серьезно задуматься о защите от кибератак. Даже когда предприятия принимают меры предосторожности, ущерб от интернет-атак может быть значительным. Наличие страховки может помочь компаниям восстановиться быстрее, чем в противном случае.

[Раскрыты записи: 4 миллиона | Отрасль: Правительство | Тип атаки: несанкционированный доступ]

Краткие факты : Более 4 миллионов из 7 миллионов граждан Болгарии пострадали от нарушения безопасности в июне 2019 года., который скомпрометировал информацию, позволяющую установить личность, и финансовые отчеты, полученные из налогового агентства страны. По оценкам, имена, адреса, личные идентификационные номера и данные удостоверений личности 200 граждан были переданы средствам массовой информации.

Устаревшие системы и отсутствие превентивных мер со стороны правительства Болгарии подозреваются в уязвимостях, ведущих к раскрытию базы данных записей граждан.

Извлеченные уроки : Основные выводы включают:

• Исправление или удаление устаревших систем
• В дополнение к механизмам реагирования на угрозы внедрить превентивные меры кибербезопасности
• Оценка методов обеспечения безопасности при рассмотрении возможности обмена данными с партнерами, поставщиками и поставщиками услуг
• Осведомленность и образование в области кибербезопасности никогда не прекращаются. Рассмотрите возможность присоединения к сообществам аналогичной отрасли или географической близости, чтобы поделиться передовым опытом и узнать о новых угрозах
.
• Правительства вводят фискальные санкции для организаций (как государственного, так и частного сектора), которые неправильно управляют данными 90 190

[Открытые записи: 1% клиентов | Отрасль: Биотехнологии | Тип атаки: Неавторизованный доступ]

Краткие факты : Charles River Labs — американская корпорация, специализирующаяся на различных доклинических и клинических лабораторных услугах для фармацевтической, медицинской и биотехнологической промышленности. Компания сообщила, что части ее ИТ-систем были взломаны в апреле 2019 года.злоумышленниками, которым удалось скопировать часть клиентских данных до того, как компания сдержала взлом.

Извлеченные уроки : Чтобы предотвратить новые финансовые потери и раскрытие данных пациентов, Эндрю Даутуэйт, главный технический директор VirtualArmour, компании по кибербезопасности, расположенной в Колорадо, рекомендовал: и процедуры, которые могли бы смягчить будущие потери.

Такие предложения, как управление входом в систему и предоставление услуг круглосуточной безопасности, могут помочь предотвратить атаку.

Изучите существующие инструменты безопасности и определите бреши, которые могли бы облегчить проникновение хакеров.

Добавьте фазу реагирования, которая включает в себя необходимые рекомендации и уверенность для предприятия, чтобы отреагировать на угрозу.

Серверы резервного копирования

— это важные инструменты, которые могут предотвратить попытки захвата киберзаложников, такие как развивающаяся тактика программ-вымогателей.

[Раскрыты записи: 19,6 млн | Отрасль: Здравоохранение | Тип атаки: Несанкционированный доступ]

Краткие факты : Недавние нарушения Quest Diagnostics и конкурента Labcorp должны привлечь ваше внимание из-за последствий для тех, кто в них вовлечен. Обе компании указывают на использование Американского агентства по сбору медицинских платежей (AMCA) в качестве вектора угрозы для атак. Quest утверждает, что данные до 11,9 млн человек могли быть украдены, в то время как LabCorp указывает чуть меньшую цифру в 7,7 млн, в результате чего риску подвергается в общей сложности почти 20 млн потребителей.

Раскрытые документы могут содержать информацию о социальном страховании и страховании пациента, две ценные точки данных для тех, кто пытается создать фальшивую личность, что делает это ценным уловом для хакеров, которые могут перепродать информацию в даркнете.

Извлеченные уроки : Поскольку так много преступной деятельности в Интернете остается незамеченной, невозможно точно сказать, как часто происходят подобные вещи, однако мы знаем, что в 2016 году в Quest произошел небольшой взлом. В этом случае лабораторная информация Quest была скомпрометирована. прямой атакой. В то время Quest опубликовала заявление, в котором утверждалось, что, по их мнению, потенциальный вред для пациентов невелик из-за характера доступной информации и небольшого числа подвергшихся воздействию пациентов. Однако нынешняя ситуация гораздо серьезнее.

Не только Quest страдает от злонамеренных действий хакеров. Схема скимминга кредитных карт, использованная в этой последней атаке, была связана с хакерской группой Magecart и затронула таких поставщиков, как Newegg, British Airways и Sotheby’s.

[Открытые записи: Н/Д | Отрасль: Программное обеспечение и технологии | Тип атаки: фишинг. заявив, что системы Wipro использовались «в качестве отправной точки для цифровых фишинговых экспедиций, нацеленных как минимум на дюжину клиентских систем Wipro. Эксперты по безопасности заявили, что клиенты Wipro проследили злонамеренную и подозрительную деятельность по разведке сети до партнерских систем, которые обменивались данными напрямую с сетью Wipro».

17 апреля индийская ежедневная газета процитировала Wipro, в которой говорилось, что на самом деле произошел инцидент с фишингом. Wipro подтвердила, что ее ИТ-системы были взломаны, и заявила, что наняла судебно-медицинскую фирму для разрешения ситуации, заявив, что она «имела дело с многомесячным вторжением со стороны предполагаемого злоумышленника, спонсируемого государством», и что системы Wipro использовались для атак на не менее десятка своих клиентов.

Некоторые краткие советы: Обработка инцидента (или его отсутствие) вызвала некоторый ажиотаж среди влиятельных лиц отрасли, в результате чего Кребс был вынужден позже написать дополнительную статью об инциденте, объясняющую, что руководителей Wipro спросили на ежеквартальной конференции инвесторов. звонок, чтобы ответить на его сообщение. Главный операционный директор Wipro Бхану Баллапурам сказал инвесторам, что многие детали в отчете Кребса были ошибочными, и подразумевается, что нарушение было ограничено несколькими сотрудниками, которые стали жертвами фишинга.

Кребс решил присоединиться к ежеквартальному звонку и добавить вопрос об инциденте в очередь, которой Wipro предоставила ему возможность высказаться по звонку. Репортер службы безопасности Грэм Клули смог записать фрагмент разговора и опубликовать его в Твиттере.

Из вышеупомянутой серии событий Кребс подвел итог публичного ответа Wipro в своей последующей статье « Как не признать утечку данных :»

• Игнорировать вопросы репортера в течение нескольких дней, а затем придираться в своем рассказе во время публичной конференции для инвесторов.
• Ставьте под сомнение заявленные сроки нарушения, но отказывайтесь предоставлять альтернативные сроки.
• Преуменьшить серьезность инцидента и охарактеризовать его как урегулированный, даже если они только что наняли стороннюю судебно-медицинскую фирму.
• Допустим, злоумышленники развернули «атаку нулевого дня», а затем отказываются обсуждать подробности упомянутого нулевого дня.
• Утверждайте, что IoC, которыми вы делитесь с затронутыми клиентами, были обнаружены вами, хотя это не так.

Обновление истории: Согласно более свежей статье, опубликованной 2 мая, было обнаружено, что злоумышленники использовали инструмент удаленного доступа ScreenConnect для взлома компьютеров сотрудников в Wipro. Также было обнаружено, что злоумышленники могли быть связаны с более ранними вредоносными действиями 2017 и даже, возможно, 2015 года, и повторно использовали большую часть инфраструктуры предыдущих атак для своих текущих.

[Раскрыты записи: 4,9 миллиона | Индустрия: Ресторан и гостиничный бизнес| Тип атаки: Несанкционированный доступ]

Быстрые факты : Служба доставки еды DoorDash объявила, что в мае 2019 года неавторизованная третья сторона получила доступ к почти 5 миллионам пользовательских записей. Был получен доступ к комбинации данных от продавцов DoorDash, сотрудников службы доставки Dasher и конечных пользователей. . Пользователей, присоединившихся к сервису после 5 апреля 2018 г., это не коснется.

Извлеченные уроки : Представитель службы доставки сообщил TechCrunch, что виноват «сторонний поставщик услуг», хотя конкретный поставщик не был назван. После того, как произошло нарушение, DoorDash удалил доступ к данным от третьих лиц, добавил дополнительные защитные уровни безопасности вокруг данных, улучшил протоколы безопасности, которые управляют доступом к системам DoorDash, и привлек внешний опыт, чтобы повысить способность компании выявлять и отражать угрозы. .

Отчет CS Hub: Стратегии CISO для упреждающего предотвращения угроз

Загрузите отчет, чтобы узнать, какие стратегии должны учитывать директора по информационной безопасности при внедрении стратегий предотвращения в первую очередь с использованием решений EPP, EDR, MDR и управляемых XDR. Скачать отчет.

См. также: Извлеченные уроки: предостерегающие рассказы о корпоративных кибератаках0001

Обзор

Служба безопасности Red Hat сообщила о проблеме с блочными шифрами в протоколах SSL/TLS, которая при определенных конфигурациях может привести к коллизии атаки. Эта проблема была оценена как умеренная и присвоена CVE-2016-2183. В настоящее время эта проблема не требует обновлений или действий для пользователей продуктов Red Hat. Подробнее см. в разделе «Разрешение» ниже.

Исходная информация

Устаревшие блочные шифры с размером блока 64 бита уязвимы для практической атаки коллизиями при использовании в режиме CBC. Все версии протокола SSL/TLS поддерживают наборы шифров, которые используют 3DES в качестве симметричного шифра шифрования (например, ECDHE-RSA-DES-CBC3-SHA). В версиях OpenSSL, поставляемых с Red Hat Enterprise Linux 6 и 7, наборы шифров на основе DES перечислены ниже тех, которые поддерживают AES-128 (с набором шифров PFS) и AES-256. Это означает, что шифр DES будет выбран только тогда, когда сервер явно отключит AES-128 и AES-256. В версии OpenSSL, поставляемой с Red Hat Enterprise Linux 5, наборы шифров на основе DES перечислены ниже AES-256, но выше AES-128. В таких случаях DES будет выбран только тогда, когда сервер явно отключит набор шифров на основе AES-256.

Безопасность блочного шифра зависит от размера ключа (k). Следовательно, лучшая атака на блочный шифр — это атака с исчерпывающим поиском ключа, которая имеет сложность 2 ^k . Однако, когда блочные шифры используются для шифрования больших объемов данных с использованием таких режимов шифрования, как CBC, размер блока (n) также играет определенную роль в определении его безопасности.

Когда используется режим шифрования CBC, происходит атака простого дня рождения, при которой после того, как 2 ^n/2 блоков данных зашифрованы одним и тем же ключом, ожидается коллизия между двумя блоками шифров. Коллизия на выходе будет означать, что вход такой же. Эти данные в сочетании с несколькими условиями (обсуждаемыми ниже) можно использовать для извлечения простого текста из зашифрованных данных.

Практичность атаки

1. Во-первых, DES/3DES — единственный шифр, используемый в SSL/TLS, который имеет размер блока 64 бита. Как указано в резюме, наборы шифров, содержащие 3DES, имеют приоритет над другими наборами шифров (например, AES-128).

2. Для проведения атаки на 64-битные блочные шифры необходимо перехватить по сети не менее 32 ГБ данных. В случае SSL/TLS это будет означать из одного сеанса SSL/TLS. (Для всех новых сеансов SSL/TLS повторно согласовывает симметричные ключи). Поэтому долгоживущие https-соединения могут быть уязвимы.

3. Во многих контекстах восстановления только операции xor между двумя блоками обычного текста недостаточно для атаки с практическим эффектом. Однако атака может быть организована при выполнении следующих условий:

4. Атака с подтверждением концепции, упомянутая в исследовательской статье, предполагает, что некоторый токен аутентификации передается между сервером и клиентом для всех его коммуникаций (токен может быть файлом cookie учетных данных, используемым в базовой аутентификации). Затем злоумышленник запускает вредоносный код JavaScript в источнике атакуемого веб-сайта. Затем для извлечения файла cookie можно использовать атаку типа BEAST.

Способы устранения

1. Конфигурации SSL/TLS должны отдавать предпочтение AES, а не DES. Версии OpenSSL, поставляемые с Red Hat Enterprise Linux 6 и 7, уже это делают.
2. В версии OpenSSL, поставляемой с Red Hat Enterprise Linux 5, 3DES указан ниже шифра AES-256 и выше шифра AES-128, поэтому наборы шифров на основе AES-256 не следует отключать на сервере.
3. Серверы, использующие OpenSSL, не должны отключать наборы шифров AES-128 и AES-256. Версии Apache, поставляемые с Red Hat Enterprise Linux, используют строку шифра по умолчанию, в которой AES предпочтительнее наборов шифров на основе DES/3DES.
4. Отключить 3DES. Этого можно добиться для Apache httpd, установив: SSLCipherSuite HIGH:MEDIUM:!MD5:!RC4:!3DES

Разрешение

1. Этот недостаток связан с конструкцией шифра DES/3DES и не является недостатком реализации.
2. Эта уязвимость не влияет напрямую на какие-либо криптографические библиотеки (OpenSSL, NSS и GnuTLS) в Red Hat Enterprise Linux 5, 6 и 7, поскольку существует несколько более надежных наборов шифров, которые располагаются выше 3DES в конфигурациях списка шифров по умолчанию.