Дорогие друзья!
Тут я буду делится с Вами интересными новостями, которые увижу в тырнете.
16-летний хакер взломал 100 страниц "ВКонтакте" и похитил 15 тысяч рублей с карточек
Управление Следственного комитета по Гродненской области расследует дело в отношении 16-летнего подростка. Предполагается, что парень с сентября 2015 года по январь 2016 года взломал более 100 страниц пользователей во «ВКонтакте», после от чужого имени выманил реквизиты банковских карт у других пользователей соцсети — и похитил деньги. Об уголовном деле в эфире «Альфа Радио» рассказала официальный представитель СК Юлия Гончарова.
По ее словам, в отношении 16-летнего подростка возбуждено дело сразу по двум статьям Уголовного кодекса — ч. 2 ст. 349 (Несанкционированный доступ к компьютерной информации) и ч. 2 ст. 212 (Хищение путем использования компьютерной техники).
«Потерпевшими признаны более 100 человек», — уточнила Юлия Гончарова.
Предполагается, что преступную схему разработал сам подросток. Сначала он взламывал страницы пользователей «ВКонтакте». Завладев аккаунтом, подросток начинал переписку с людьми из списка друзей. Он просил пользователей дать реквизиты их банковских карт, рассказывая, что не может воспользоваться собственной картой, так как она заблокирована или у нее истек срок действия.
«Переписка велась в непринужденной форме, адресат не понимал, что пишет не его друг. (…) А когда получал данные карт, то выводил деньги путем интернет-покупок или перечисляя деньги на свои счета», — рассказала официальный представитель СК.
Работа над делом ведется до сих пор. По последним подсчетам, с помощью незаконной схемы было похищено примерно 15 тысяч рублей (150 миллионов рублей до деноминации) — в среднем по 100−200 рублей с каждого. Впрочем, большинству пострадавших деньги уже возвращены банками — согласно принципу нулевой ответственности.
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Руководитель службы безопасности компании Yahoo подтвердил сведения об утечке базы со сведениями о 500 млн пользователей. Заявление опубликовано после появления на черном рынке предложений о продаже базы пользователей Yahoo. Данные были украдены в конце 2014 года и включают имена, email, телефонные номера, даты рождения, хэши паролей пользователей (bcrypt), а также частично зашифрованные вопросы и ответы для восстановления паролей. Номера кредитных карт и банковские реквизиты не пострадали, так как не хранились на скомпрометированном сервере.
Source: https://yahoo.tumblr...o-user-security
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
ФСБ, Минкомсвязь и Минпромторг РФ обсуждают внедрение средств для анализа HTTPS-траф
По сведениям издания "Коммерсантъ" ФСБ, Минкомсвязь и Минпромторг РФ приступили к обсуждению возможности массового внедрения в сети провайдеров систем глубокого инспектирования пакетов (DPI), способных анализировать содержимое сеансов HTTPS. В качестве наиболее реалистичной схемы компрометации HTTPS называется вклинивание в канал связи по образу MitM-атак, при которых на стороне оператора создаётся прозрачный прокси, который при установке HTTPS-соединения притворяется для клиента целевым сайтом, транслируя обращения к этому сайту и подменяя реальный сертификат сайта на фиктивный сертификат.
Для того чтобы скрыть подмену сертификата от браузеров, которые при получении ответа с фиктивным сертификатом выведут предупреждение о небезопасном соединении, предлагается использовать промежуточные сертификаты от специально созданного отечественного удостоверяющего центра. Для того чтобы схема заработала требуется добавить корневой сертификат данного удостоверяющего центра в хранилище сертификатов системы и браузера клиента. Каким образом планируется добиться добавления сертификата на конечные системы пользователей не сообщается. Ранее производители браузеров заявляли, что никогда не одобрят включение подобного удостоверяющего центра в состав своих хранилищ сертификатов. Кроме того, повсеместное проведение MitM-атак подразумевает применение не привязанного к конкретным доменам универсального сертификата, который в случае массового внедрения подобных DPI-систем, может быть извлечён из оборудования, попасть не в те руки и использован в деятельности злоумышленников.
Source: kommersant.ru/doc/3094848
------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
В России могут ужесточить наказание для киберпреступников
Киберпреступление хотят приравнять к краже. Соответствующий законопроект разработан при участии Сбербанка и Министерства внутренних дел (МВД) и поддержан Центробанком. Об этом «Известиям» рассказал замначальника Главного управления безопасности и защиты информации Банка России Артем Сычев в кулуарах банковского форума в Сочи. По словам Артема Сычева, новация «является одной из важнейших законодательных инициатив на данный момент». Эксперты поддержали законопроект, но предостерегли авторов о риске перегнуть палку. Ведь скачивание нелицензионной версии программы в этом случае тоже можно будет приравнять к киберпреступлению.
Артем Сычев рассказал «Известиям», что законопроект содержит два принципиальных изменения: требование признать киберпреступление кражей (а не квалифицировать в качестве мошенничества, как сейчас) и установить за его совершение более серьезное наказание.
— По существующей судебной практике наказание совершенно не соответствует сумме ущерба. Люди похищают сотни миллионов рублей, а получают три года условно, — считает он.
Артем Сычев уточнил, что максимальный срок за кибермошенничество в соответствии с текущей практикой «может составить пять лет». Это совершенно не коррелирует с мировой практикой. В США наказание по такому виду преступлений составляет 25 лет, в Китае — от 10.
Так, в конце июля Хамовнический суд Москвы признал группу кибермошенников — Олега Лузянина, Рината Ирмогамбетова и Александра Андреева — виновными по ст. 159.6 УК за ущерб от их хакерской деятельности в 160 млн рублей. Каждому фигуранту дела назначено «наказание в виде лишения свободы сроком на пять лет… без штрафа, с отбыванием наказания в исправительной колонии общего режима».
Казалось бы, в ст. 159.6 УК («Мошенничество в сфере компьютерной информации») установлены аналогичные мировым максимальные санкции для нарушителей: тюремный срок в 10 лет и штраф в 1 млн рублей. При этом крупным размером ущерба считается 1,5 млн рублей, особо крупным — 6 млн. Получается, хакерам, совершившим, например, атаку на банк «Кузнецкий» и получившим по ее результатам 500 млн рублей прибыли, должны «насчитать» максимальное наказание.
Однако, по словам близкого к ЦБ источника, проблема в том, что киберпреступления не всегда удается квалифицировать как состав, предусматривающий максимальное наказание по этой статье. В то же время, приравняв этот вид преступления к краже (денежный ущерб очевиден), преступников удастся привлечь к более серьезным, чем сейчас, санкциям. Ведь по ст. 158 УК («Кража») ущербом в крупном размере признается сумма в 250 тыс. рублей, а в особо крупном — 1 млн рублей.
Руководитель Zecurion Analytics Владимир Ульянов поддерживает законопроект.
— На мой взгляд, новация справедлива, — отметил он. — И то, что сейчас на практике не так, — очевидный пробел законодательства, обусловленный технологическим скачком. Кроме того, нужно учесть, что в настоящее время изменился и сам характер киберпреступлений. Из шалостей, массового фишинга и относительно немногочисленных случаев профессионального хакерства кибермошенничество стало огромной индустрией с многомиллиардными оборотами.
По словам руководителя Zecurion Analytics, риски, которые сегодня закладывают компании в связи с угрозами в киберпространстве (хакеры, инсайдеры), не менее критичны, чем другие типы рисков (например, правовые или экономические).
— По статистике Zecurion, в российских компаниях Enterprise-сегмента ежегодно фиксируется от 14 до 20 крупных инцидентов, связанных с утечкой информации, — пояснил Владимир Ульянов. — Поэтому совершенно нормально расценивать кражу денег с помощью высокотехнологических инструментов именно как кражу денег.
При этом, по словам собеседника, важно не перегнуть палку и четко определить в законопроекте, что такое киберпреступление.
— Ведь по большому счету скачивание нелицензионной версии программы тоже можно приравнять к киберпреступлению, — рассуждает эксперт. — Именно за киберпреступления ответственность должна быть усилена. Фактическая безнаказанность, относительная простота реализации (есть готовые схемы и инструменты), сложность расследования инцидентов (у правоохранительных органов не всегда есть необходимые кадры и техническая возможность) способствовали росту числа преступлений и количества вовлеченных в мошеннические схемы людей. Суммы привлечения к ответственности за кибермошенничество можно приравнять к тем, что действуют по другим экономическим преступлениям.
Алексей Тюрин, директор департамента аудита защищенности Digital Security, напоминает о важном нюансе: рассматривая возможность заключения в тюрьму киберзлоумышленника на 10–20 лет, надо быть точно уверенным, что он виновен.
— Если речь идет о хакерской атаке, доказать вину — далеко не самое простое дело, — указал эксперт. — Довольно легко «подставить» невиновного или посадить какую-то мелкую сошку, а не организаторов. Не будем забывать и о том, что столь крупные кражи происходят в том числе по вине банков, и им нужно больше внимания уделять вопросам обеспечения дистанционных сервисов (интернет- и мобильного банка), чтобы исключить возможность возникновения инцидентов в системе.
Другой вариант — перевести хакеров на «светлую сторону».
— Практика сотрудничества с успешными хакерами есть во многих странах, и я допускаю, что и сейчас она успешно работает, — отмечает Владимир Ульянов. — Не обязательно подводить под это законодательную базу. Тем более спрос на опытные кадры растет в связи с обострением противостояния государств в киберпространстве, разработкой всё более агрессивных политик в области кибербезопасности.
По прогнозам Центробанка, объем киберхищений к концу 2016 года составит 4 млрд рублей. При том, что в 2015 году эта сумма была почти в четыре раза меньше — 1,14 млрд рублей.
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------