Случайны выбор дневника Раскрыть/свернуть полный список возможностей


Найдено 1642 сообщений
Cообщения с меткой

ibm - Самое интересное в блогах

Следующие 30  »
rss_rss_hh_new

IBM запускает первые высокозащищенные облачные блокчейн-сервисы

Понедельник, 30 Мая 2016 г. 22:27 (ссылка)


Блокчейн-сервисы на базе IBM Cloud предназначены для финансовых учреждений, организаций государственного сектора и сферы здравоохранения







Как уже сообщалось, в январе этого года наша компания открыла blockchain-лабораторию. Проект стартовал при поддержке партнера — некоммерческой организации Innovate Finance. Цель проекта — изучение дополнительных возможностей технологии blockchain с использованием значительных вычислительных и аналитических мощностей компании.



Сейчас партнеры уже довольно далеко продвинулись в рамках проекта, поэтому было решено запустить первые сервисы на основе указанной технологии. Здесь стоит напомнить, что сети блокчейн основаны на концепции децентрализованного контроля, однако некоторые облачные среды сохраняют уязвимость, которая допускает взлом информационных систем и неавторизованный доступ. Команда IBM, состоящая из экспертов по информационной безопасности, криптографов, экспертов по аппаратному обеспечению и исследователей, создала принципиально новые облачные сервисы для устойчивых к взлому доверенных сетей на технологии блокчейна.

Читать дальше →

https://habrahabr.ru/post/302222/

Метки:   Комментарии (0)КомментироватьВ цитатник или сообщество
rss_rss_hh_new

[Перевод] Проклятие культуры

Пятница, 27 Мая 2016 г. 16:42 (ссылка)


Слепота Microsoft. Предупреждающие знаки для Google и Apple



В одной из фундаментальных книг по этой теме «Организационная культура и лидерство» Эдгар Шейн пишет:



«Самый интригующий аспект культуры как концепции состоит, пожалуй, в том, что она указывает нам на явления, лежащие в глубине, мощные по своему воздействию, но невидимые и в значительной степени бессознательные. В этом смысле культура для группы — это то же самое, что личность или характер для человека. Мы можем наблюдать результирующее поведение, но часто не видим силы, вызывающие это поведение. Как наша личность и характер направляют и сдерживают наше поведение, так и культура направляет и сдерживает поведение членов группы, и осуществляется через коллективные нормы, присущие этой группе».


В терминологии Шейна вещи вроде столов для настольного тенниса и холодильников с пивом — это два (маленьких) примера артефактов – видимых качеств организации. Их легко заметить, но их значение обычно не поддаётся расшифровке и уникально для конкретной группы (другими словами, простое копирование фишек Google не работает).

Читать дальше →

https://habrahabr.ru/post/302008/?utm_source=habrahabr&utm_medium=rss&utm_campaign=best

Комментарии (0)КомментироватьВ цитатник или сообщество
rss_rss_hh_new

Security Week 19: искусственный интеллект в безопасности, zero days у Microsoft и Adobe, иной взгляд на криптолокеры

Пятница, 13 Мая 2016 г. 18:51 (ссылка)

Начнем выпуск с еще одной производственной новости: компания IBM намерена использовать суперкомпьютер Watson для решения задач в области информационной безопасности (новость, официальный пресс-релиз). Напомню, Watson — это, как говорится в официальных документах, программно-аппаратный комплекс (кластер из 90 серверов), способный отвечать на вопросы на естественном языке, или некая реализация искусственного интеллекта. В 2011 году Watson одержал победу над жалкими людишками многократными победителями в игре Jeopardy (у нас это «Своя игра»).



В IBM хотят научить Watson обрабатывать большой поток связанной с ИБ информации, так, чтобы суперкомпьютер мог «отличать вирусы от троянов». Для этого IBM будет сотрудничать с рядом американских университетов, студенты которых будут соответствующим образом готовить информацию для дальнейшей обработки. Данных получится много, речь идет о миллиардах записей. Впрочем, пока рано говорить о том, что искуственный интеллект и человекоподобные роботы защитят нас от всех киберугроз. Конечные цели в анонсе даны очень широкими мазками: «автоматизировать нахождение взаимосвязей между данными [об инцидентах], потенциальными угрозами и стратегиями защиты».



С одной стороны, тема машинного обучения, искусственного интеллекта и поиска аномалий в огромном потоке данных (например, в сетевом трафике) весьма перспективна, да собственно уже сейчас такие алгоритмы широко применяются: начиная от детектирования новых угроз на основе информации о предыдущих инцидентах и до выявления сложных, таргетированных атак. С другой, почти все в индустрии согласны, что абсолютно все автоматизировать не получится, даже если оснастить парой Ватсонов каждое крупное предуприятие. Доля «ручного труда», а точнее необходимость в высококлассных экспертах для расследования угроз, остается весьма высокой. Большую роль в безопасности играет человеческий фактор, а это совсем уж плохо алгоритмизируемая задача. Впрочем, IBM формулирует задачу корректно: «дать новые возможности экспертам по безопасности». Не заменить их. В этом ключевое отличие данной инициативы от иных попыток порекламироваться на теме машин лернинга, обещая, что «компьютер все поймет», и сам научится детектировать любые атаки. Не научится. Почему — объясню под катом.



Предыдущие выпуски сериала — тут.



Из всех недавних успехов в области искусственного интеллекта на слуху больше всего победы машин над людьми к интеллектуальных играх. Deep Blue против Каспарова в шахматах, Watson в «Своей игре», и, совсем недавно, победа суперкомпьютера в го. В марте, когда я был на конференции RSA, победа в го упоминалась чуть ли не в каждом втором выступлении. Процитирую президента RSA Амита Йорана по данной теме: AI — это круто, но не надо ожидать каких-то прорывов в этом направлении применительно к IT безопасности, основываясь на сегодняшних успехах.







Одно дело — победить пусть даже и в сложной «человеческой» игре, другое — иметь возможность предсказывать и предотвращать кибератаки. В первом случае ведется игра по правилам. Во втором — никаких правил нет. ИИ в ИБ помогает только в решении отдельных задач, и чем больше будет таких «обучаемых» технологий, тем больше времени будет у эксперта, чтобы заниматься другими проблемами — оценивать риски, предсказывать векторы атаки и предотвращать самые сложные инциденты. Заменить человека полностью пока не получается и вряд ли получится.



Опасные уязвимости в Windows и Adobe Flash уже используются для атак на пользователей и розничные сети

Новость про Microsoft. Новость про Adobe.



Уязвимость в Windows патчилась два раза: частично дыра, позволяющая выполнять произвольный код с системными привелегиями была закрыта в одном из апрельских пакетов заплаток, а окончательно — в свежем обновлении, выпущенном в этот вторник. Уязвимость затрагивает все актуальные версии Windows, от 7 до 10, и обнаружена была, увы, в ходе анализа серии успешных атак. Причем, киберпреступники прицельно искали компании и устройства, используемые для обработки платежей с кредитных карт. Кампанию в марте обнаружила компания FireEye: первоначальное проникновение в сеть жертвы проводилось традиционно, с помощью «подготовленного» документа Word, рассылаемого по e-mail. В общем, упомянутый мной ранее сезон атак на американские розничные сети продолжается: киберпреступники стараются успеть до введения платежей EMV (с чипом и пинкодом, как во всех нормальных странах), с которыми перехват данных кредиток значительно усложняется.



Критическая уязвимость в Adobe Flash то ли используется, то ли нет: в Adobe утверждают, что не видели атак, независимые источники опровергают. Учитывая потенциальную опасность уязвимости (эксплуатация может вызвать сбой приложения и получение контроля над системой), Adobe заранее предупредила о ее обнаружении 10 мая, а 12-го — выпустила кумулятивный патч.



Криптолокеры: взгляд со стороны жертвы

Статья на Threatpost.



Самая популярная публикация на Threatpost на этой неделе новостью не является, но показывает под неожиданным углом проблему троянов-вымогателей. Взглядом на проблему со стороны жертвы поделился IT-специалист компании, управляющей онлайновым казино, попросивший перед публикацией не называть имен. В компании работают около тысячи сотрудников. Несмотря на то, что такой бизнес весьма уязвим перед кибератаками, как это часто бывает, IT-безопасность не является самым главным приоритетом — других проблем хватает.



В материале приводится пример реальной атаки криптолокера на инфраструктуру компании. Точкой входа оказывается внешний консультант — специалист, работающий удаленно на ноутбуке, предоставленном компанией. По какой-то причине лаптоп оказывается ничем не защищен, зато имеет подключение к корпоративным сетевым папкам, как утверждается, из-за неправильной конфигурации (файловые шары примонтированы в папку Public пользовательского раздела, не самый лучший вариант). После попытки открыть вложение в письме, похожем на привычный инвойс, начинается шифрование данных. И здесь хорошо заметно, как медленно реагирует на эту проблему и пользователь, и специалисты по IT, в то время как реагировать надо быстро.







Владелец ноутбука полчаса дозванивается до поддержки, ему все еще кажется, что произошла какая-то техническая неисправность. Пока он объясняет, что происходит, шифрование данных продолжается, наконец он получает правильный совет: отключить ноутбук от сети, прямо сейчас. Тем временем успевают зашифроваться файлы на сервере и некоторых других компьютерах сотрудников, также криво подключенными к сетевым папкам. В общем, история типичная: атака через самое уязвимое звено, которым обычно оказывается подрядчик или фрилансер, шифрование данных на компьютере и на сетевых папках, быстрое распространение проблемы по сети. К счастью, в данном случае, важные данные не были потеряны и работа компании не была нарушена. Наконец, интересное частное наблюдение: если полгода назад админы компании фиксировали одну попытку атаки криптолокером в день, то теперь блокируют минимум три. Компания была атакована троянцем TeslaCrypt, о котором мы подробно писали в прошлом году.



Что еще произошло:

Еще одна уязвимость в системном ПО на ноутбуках Lenovo.



Интересный лонгрид о сложных взаимоотношениях американского ФБР и восточноевропейского киберкриминала в журнале Wired.



Криптолокер пытался атаковать американский конгресс.



Создателя анонимной платежной системы LibertyReserve посадили на 20 лет.



Древности:

«Something-658»



Резидентный очень опасный вирус, записывается в начало запускаемых COM-файлов. 11 числа ежемесячно стирает файл C:/AUTOEXEC.BAT, записывает в него команды DEL *.COM, DEL *.EXE, а затем создает файл SOME нулевой длины. Перехватывает int 21h. Содержит тексты: «Something v1.1», «some c:\autoexec.bat del *.com del *.exe».



Цитата по книге «Компьютерные вирусы в MS-DOS» Евгения Касперского. 1992 год. Страницa 83.



Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.



Original source: habrahabr.ru.

https://habrahabr.ru/post/283536/?utm_source=habrahabr&utm_medium=rss&utm_campaign=best

Комментарии (0)КомментироватьВ цитатник или сообщество
rss_rss_hh_new

Security Week 19: искусственный интеллект в безопасности, zero days у Microsoft и Adobe, иной взгляд на криптолокеры

Пятница, 13 Мая 2016 г. 18:51 (ссылка)

Начнем выпуск с еще одной производственной новости: компания IBM намерена использовать суперкомпьютер Watson для решения задач в области информационной безопасности (новость, официальный пресс-релиз). Напомню, Watson — это, как говорится в официальных документах, программно-аппаратный комплекс (кластер из 90 серверов), способный отвечать на вопросы на естественном языке, или некая реализация искусственного интеллекта. В 2011 году Watson одержал победу над жалкими людишками многократными победителями в игре Jeopardy (у нас это «Своя игра»).



В IBM хотят научить Watson обрабатывать большой поток связанной с ИБ информации, так, чтобы суперкомпьютер мог «отличать вирусы от троянов». Для этого IBM будет сотрудничать с рядом американских университетов, студенты которых будут соответствующим образом готовить информацию для дальнейшей обработки. Данных получится много, речь идет о миллиардах записей. Впрочем, пока рано говорить о том, что искуственный интеллект и человекоподобные роботы защитят нас от всех киберугроз. Конечные цели в анонсе даны очень широкими мазками: «автоматизировать нахождение взаимосвязей между данными [об инцидентах], потенциальными угрозами и стратегиями защиты».



С одной стороны, тема машинного обучения, искусственного интеллекта и поиска аномалий в огромном потоке данных (например, в сетевом трафике) весьма перспективна, да собственно уже сейчас такие алгоритмы широко применяются: начиная от детектирования новых угроз на основе информации о предыдущих инцидентах и до выявления сложных, таргетированных атак. С другой, почти все в индустрии согласны, что абсолютно все автоматизировать не получится, даже если оснастить парой Ватсонов каждое крупное предуприятие. Доля «ручного труда», а точнее необходимость в высококлассных экспертах для расследования угроз, остается весьма высокой. Большую роль в безопасности играет человеческий фактор, а это совсем уж плохо алгоритмизируемая задача. Впрочем, IBM формулирует задачу корректно: «дать новые возможности экспертам по безопасности». Не заменить их. В этом ключевое отличие данной инициативы от иных попыток порекламироваться на теме машин лернинга, обещая, что «компьютер все поймет», и сам научится детектировать любые атаки. Не научится. Почему — объясню под катом.



Предыдущие выпуски сериала — тут.



Из всех недавних успехов в области искусственного интеллекта на слуху больше всего победы машин над людьми к интеллектуальных играх. Deep Blue против Каспарова в шахматах, Watson в «Своей игре», и, совсем недавно, победа суперкомпьютера в го. В марте, когда я был на конференции RSA, победа в го упоминалась чуть ли не в каждом втором выступлении. Процитирую президента RSA Амита Йорана по данной теме: AI — это круто, но не надо ожидать каких-то прорывов в этом направлении применительно к IT безопасности, основываясь на сегодняшних успехах.







Одно дело — победить пусть даже и в сложной «человеческой» игре, другое — иметь возможность предсказывать и предотвращать кибератаки. В первом случае ведется игра по правилам. Во втором — никаких правил нет. ИИ в ИБ помогает только в решении отдельных задач, и чем больше будет таких «обучаемых» технологий, тем больше времени будет у эксперта, чтобы заниматься другими проблемами — оценивать риски, предсказывать векторы атаки и предотвращать самые сложные инциденты. Заменить человека полностью пока не получается и вряд ли получится.



Опасные уязвимости в Windows и Adobe Flash уже используются для атак на пользователей и розничные сети

Новость про Microsoft. Новость про Adobe.



Уязвимость в Windows патчилась два раза: частично дыра, позволяющая выполнять произвольный код с системными привелегиями была закрыта в одном из апрельских пакетов заплаток, а окончательно — в свежем обновлении, выпущенном в этот вторник. Уязвимость затрагивает все актуальные версии Windows, от 7 до 10, и обнаружена была, увы, в ходе анализа серии успешных атак. Причем, киберпреступники прицельно искали компании и устройства, используемые для обработки платежей с кредитных карт. Кампанию в марте обнаружила компания FireEye: первоначальное проникновение в сеть жертвы проводилось традиционно, с помощью «подготовленного» документа Word, рассылаемого по e-mail. В общем, упомянутый мной ранее сезон атак на американские розничные сети продолжается: киберпреступники стараются успеть до введения платежей EMV (с чипом и пинкодом, как во всех нормальных странах), с которыми перехват данных кредиток значительно усложняется.



Критическая уязвимость в Adobe Flash то ли используется, то ли нет: в Adobe утверждают, что не видели атак, независимые источники опровергают. Учитывая потенциальную опасность уязвимости (эксплуатация может вызвать сбой приложения и получение контроля над системой), Adobe заранее предупредила о ее обнаружении 10 мая, а 12-го — выпустила кумулятивный патч.



Криптолокеры: взгляд со стороны жертвы

Статья на Threatpost.



Самая популярная публикация на Threatpost на этой неделе новостью не является, но показывает под неожиданным углом проблему троянов-вымогателей. Взглядом на проблему со стороны жертвы поделился IT-специалист компании, управляющей онлайновым казино, попросивший перед публикацией не называть имен. В компании работают около тысячи сотрудников. Несмотря на то, что такой бизнес весьма уязвим перед кибератаками, как это часто бывает, IT-безопасность не является самым главным приоритетом — других проблем хватает.



В материале приводится пример реальной атаки криптолокера на инфраструктуру компании. Точкой входа оказывается внешний консультант — специалист, работающий удаленно на ноутбуке, предоставленном компанией. По какой-то причине лаптоп оказывается ничем не защищен, зато имеет подключение к корпоративным сетевым папкам, как утверждается, из-за неправильной конфигурации (файловые шары примонтированы в папку Public пользовательского раздела, не самый лучший вариант). После попытки открыть вложение в письме, похожем на привычный инвойс, начинается шифрование данных. И здесь хорошо заметно, как медленно реагирует на эту проблему и пользователь, и специалисты по IT, в то время как реагировать надо быстро.







Владелец ноутбука полчаса дозванивается до поддержки, ему все еще кажется, что произошла какая-то техническая неисправность. Пока он объясняет, что происходит, шифрование данных продолжается, наконец он получает правильный совет: отключить ноутбук от сети, прямо сейчас. Тем временем успевают зашифроваться файлы на сервере и некоторых других компьютерах сотрудников, также криво подключенными к сетевым папкам. В общем, история типичная: атака через самое уязвимое звено, которым обычно оказывается подрядчик или фрилансер, шифрование данных на компьютере и на сетевых папках, быстрое распространение проблемы по сети. К счастью, в данном случае, важные данные не были потеряны и работа компании не была нарушена. Наконец, интересное частное наблюдение: если полгода назад админы компании фиксировали одну попытку атаки криптолокером в день, то теперь блокируют минимум три. Компания была атакована троянцем TeslaCrypt, о котором мы подробно писали в прошлом году.



Что еще произошло:

Еще одна уязвимость в системном ПО на ноутбуках Lenovo.



Интересный лонгрид о сложных взаимоотношениях американского ФБР и восточноевропейского киберкриминала в журнале Wired.



Криптолокер пытался атаковать американский конгресс.



Создателя анонимной платежной системы LibertyReserve посадили на 20 лет.



Древности:

«Something-658»



Резидентный очень опасный вирус, записывается в начало запускаемых COM-файлов. 11 числа ежемесячно стирает файл C:/AUTOEXEC.BAT, записывает в него команды DEL *.COM, DEL *.EXE, а затем создает файл SOME нулевой длины. Перехватывает int 21h. Содержит тексты: «Something v1.1», «some c:\autoexec.bat del *.com del *.exe».



Цитата по книге «Компьютерные вирусы в MS-DOS» Евгения Касперского. 1992 год. Страницa 83.



Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.



Original source: habrahabr.ru (comments, light).

https://habrahabr.ru/post/283536/

Комментарии (0)КомментироватьВ цитатник или сообщество
rss_rss_hh_new

Компьютерный чип на основе IBM TrueNorth поможет предсказывать наступление припадка у эпилептиков

Понедельник, 09 Мая 2016 г. 10:42 (ссылка)





Как уже сообщалось в нашем блоге, Ливерморская национальная лаборатория (LLNL) создала суперкомпьютер на базе чипа TrueNorth. Принцип работы этой системы похож на принцип работы мозга человека (в той мере, в какой ученые понимают основы функционирования этого органа). В данном случае речь идет об имитации сети из 16 миллионов нейронов с 4 млрд синапсов. Этот компьютер является одним из наиболее мощных среди всех прочих «мозгоподобных» ПК, созданных человеком. Разработчики компьютера надеются, что через некоторое время такие системы смогут выполнять чрезвычайно сложные вычисления с огромной скоростью, потребляя минимум энергии.



Но сам чип TrueNorth может использоваться не только для создания производительных ПК. Он может работать и на благо медицины. Так, команда исследователей из Мельбурнского университета объединила усилия с корпорацией IBM для создания специфической системы «нейросеть + чип», предсказывающей наступление эпилептического припадка. Такой чип, по задумке авторов, осуществляет перманентный мониторинг деятельности мозга человека (идет отслеживание электрических сигналов). Собранную информацию имплантат пересылает по беспроводной связи на специализированное устройство с архитектурой нейронной сети.



В рамках этого проекта нейронную сеть «обучают» идентифицировать определенные электрические паттерны, возникающие в самом начале эпилептического припадка.



«Мы стараемся вычленить необходимую для наших целей информацию, отделив ее от фонового шума. Таким образом, мы хотим добиться возможности идентифицировать конкретный тип припадка у определенного человека», — сообщил глава команды исследователей Стивен Харрер.



По словам ученого, они используют тот же принцип обучения нейронных сетей, что и компания Facebook или Google. Социальная сеть, например, поставила нейронную сеть себе на службу — система идентифицирует фотографии различных пользователей и предлагает тегировать или найти похожие. В ОС Android схожий принцип используется для распознавания голосовых команд пользователя. И сейчас Харрер «скармливает» информацию о работе мозга человека создаваемой системе.







Цель проекта — создание беспроводного носимого устройства, который вместе с мозговым имплантатом будет вести мониторинг электрической активности мозга человека, предсказывая наступление припадка.



Это звучит как фантастика, но ученые работают с реальным проектом. Используя более простой имплантат, они три года собирали энцефалограммы эпилептиков. И сейчас на основе этой информации и производится обучение нейронной сети. По мнению многих экспертов, знакомых с проектом, предсказание наступления припадка задача сложная, но решаемая.



В случае припадка даже секунды играют важную роль. Пациенты смогут подготовиться к припадку (отойти в безопасное место, обратиться к врачу и т.п. — смотря, сколько времени у них будет), и это значительно снизит угрозу жизни и здоровью эпилептика. Например, человек сможет быстро уйти с трассы, включив аварийный режим, или же отойти от края обрыва, находясь на прогулке.



До создания такой системы, по словам автора проекта, еще далеко. Но уже сейчас понятно, что все это вполне достижимая реальность.



Original source: habrahabr.ru.

https://habrahabr.ru/post/283150/?utm_source=habrahabr&utm_medium=rss&utm_campaign=best

Метки:   Комментарии (0)КомментироватьВ цитатник или сообщество
rss_rss_hh_new

Двухголовый монстр в мире вирусов: GozNym

Пятница, 30 Апреля 2016 г. 01:45 (ссылка)





Сотрудники IBM X-Force Research обнаружили новый троян, который является гибридом довольно известных зловредов Nymaim и Gozi ISFB. Оказалось, что разработчики Nymaim совместили исходный код этого вируса с частью кода Gozi ISFB. Получился гибрид, который активно использовался при атаках на сети 24 банков США и Канады. При помощи этого malware удалось украсть миллионы долларов. Гибридный вирусный продукт получил название GozNym.



По словам специалистов по информационной безопасности, этот гибрид взял лучшее от двух упомянутых выше вирусов: от Nyamaim зловред наследовал умение скрывать свое присутствие от антивирусов, от Gozi — возможность проникать на ПК пользователей. GozNym неофициально назвали «двухголовым монстром».



Таргетинг: финансовые организации Северной Америки



Разработчики нового вируса направили его на организации Северной Америки – в США и Канаду. В настоящее время известно о 22 пострадавших от вируса банках, кредитных организациях и популярных e-commerce платформах. Также в списке две финансовые компании из Канады.







Исходный код — откуда он?



Как был создан гибрид? Выше уже говорилось о том, что этот вирус состоит из частей двух других зловредов. Исходный код первого, Gozi ISFB, неоднократно выкладывался в Сеть. Впервые это случилось в 2010 году. Второй раз — в 2015 году, когда в Интернет были выложены исходники модифицированной версии этого ПО.



Что касается Nymaim, то единственным возможным источником исходного кода являются его разработчики. Вероятнее всего, именно команда Nymaim взяла часть кода Gozi ISFB, совместила со своим продуктом, получив «Франкенштейна в мире вирусов».



От Nymaim к GozNym



Nymaim действует в два этапа. Изначально этот зловред проникает на компьютеры, используя наборы эксплоитов, и после попадания на ПК выполняет второй этап — запуск двух исполняемых файлов, которые завершают заражение машины жертвы.



Исходный вирус, Nymaim, использует шифрование, anti-VM, антидебаггинг и обфускацию последовательности выполнения программного кода, т.е. запутывание потока управления. До настоящего момента этот вирус использовался в основном в качестве дроппера. Дропперы (англ. Dropper) — семейство вредоносных программ (как правило, это троянская программа), предназначенных для несанкционированной и скрытой от пользователя установки на компьютер жертвы других вредоносных программ, содержащихся в самом теле дроппера или загружаемых по сети. Данный тип вредоносных программ обычно без каких-либо сообщений (либо с ложными сообщениями об ошибке в архиве, неверной версии операционной системы и т. д.) загружает из сети и сохраняет на диске жертвы файлы с их последующим выполнением.



Nymaim, насколько известно, создан командой разработчиков, которые управляют этим зловредом уже несколько лет. На данный момент следы присутствия дроппера обнаружены на ПК пользователей Европы, Северной Америки, Южной Америки.



Конечно, далеко не все операции злоумышленников, выполняемые с использованием Nymaim, задокументированы. Тем не менее, есть данные о 2,5 миллионах заражений с использованием Blackhole Exploit Kit (BHEK) только в конце 2013 года.







Исследователи из IBM отмечают, что Nymaim начал использовать модуль Gozi ISFB, DLL, ответственную за веб-инъекции, с 2015 года. Финальная же версия гибрида, которая является полноценной интеграцией двух зловредов, была обнаружена только в апреле 2016 года. В своей гибридной инкарнации Nymaim исполняется в первую очередь, а затем идет уже запуск исполняемого модуля Gozi ISFB.



Немного технической информации



Прежде чем слиться в единое целое, зловред Nymaim использовал DLL Gozi ISFB для внедрения в браузер жертвы и для проведения веб-инъекций. Размер DLL составлял около 150 КБ и представлял собой валидный Portable Executable (PE) файл.

Новые версии Nymaim стали использовать не DLL, а сам код Gozi ISFB. Вместо 150 КБ файла, Nymaim теперь выполняет инъекцию 40 КБ буфера в браузер. Этот буфер обладает всеми признаками Gozi ISFB. Но есть и отличия: сейчас это уже не валидный РЕ файл, его структура иная и представляет собой шелл-код. Здесь используется Import Address Table (IAT) и нет РЕ-заголовков.





Старая версия Nymaim, где используется Gozi ISFB DLL





Новый буфер и новая функция гибрида jmp_nymaim_code (ниже)







Эта часть кода выполняется всегда, когда Gozi ISFB требуется Nymaim для проведения операции. В данном случае функция подготавливает требуемые параметры, тип операции, размер выделяемой памяти и т.п. для Nymaim. Затем Nymaim вступает в работу и возвращает результат для Gozi ISFB.



MD5 хэш в этом случае — 2A9093307E667CDB71884ECC1B480245.



Как защититься?



Сделать это не так и просто. Описанный выше зловред является уникальным и может создать большие проблемы как частному лицу, так и всей компании. Для того, чтобы избежать такого развития событий, стоит следовать обычным правилам работы с информацией в организациях.



Правда, это далеко не всегда помогает, в особенности, если в компании много сотрудников, работающих с компьютерной техникой с выходом в Сеть.



В этом случае рекомендуем также использовать наши инструменты защиты: IBM Security Trusteer Pinpoint Malware Detection и IBM Security Trusteer Rapport. Указанные сервисы обеспечивают своевременное обнаружение зараженных устройств в сети, уничтожение malware, если система уже заражена, плюс предотвращают процесс, используя различные методы защиты.



Original source: habrahabr.ru.

https://habrahabr.ru/post/282794/?utm_source=habrahabr&utm_medium=rss&utm_campaign=best

Метки:   Комментарии (0)КомментироватьВ цитатник или сообщество
rss_rss_hh_new

Двухголовый монстр в мире вирусов: GozNym

Пятница, 30 Апреля 2016 г. 01:45 (ссылка)





Сотрудники IBM X-Force Research обнаружили новый троян, который является гибридом довольно известных зловредов Nymaim и Gozi ISFB. Оказалось, что разработчики Nymaim совместили исходный код этого вируса с частью кода Gozi ISFB. Получился гибрид, который активно использовался при атаках на сети 24 банков США и Канады. При помощи этого malware удалось украсть миллионы долларов. Гибридный вирусный продукт получил название GozNym.



По словам специалистов по информационной безопасности, этот гибрид взял лучшее от двух упомянутых выше вирусов: от Nyamaim зловред наследовал умение скрывать свое присутствие от антивирусов, от Gozi — возможность проникать на ПК пользователей. GozNym неофициально назвали «двухголовым монстром».



Таргетинг: финансовые организации Северной Америки



Разработчики нового вируса направили его на организации Северной Америки – в США и Канаду. В настоящее время известно о 22 пострадавших от вируса банках, кредитных организациях и популярных e-commerce платформах. Также в списке две финансовые компании из Канады.







Исходный код — откуда он?



Как был создан гибрид? Выше уже говорилось о том, что этот вирус состоит из частей двух других зловредов. Исходный код первого, Gozi ISFB, неоднократно выкладывался в Сеть. Впервые это случилось в 2010 году. Второй раз — в 2015 году, когда в Интернет были выложены исходники модифицированной версии этого ПО.



Что касается Nymaim, то единственным возможным источником исходного кода являются его разработчики. Вероятнее всего, именно команда Nymaim взяла часть кода Gozi ISFB, совместила со своим продуктом, получив «Франкенштейна в мире вирусов».



От Nymaim к GozNym



Nymaim действует в два этапа. Изначально этот зловред проникает на компьютеры, используя наборы эксплоитов, и после попадания на ПК выполняет второй этап — запуск двух исполняемых файлов, которые завершают заражение машины жертвы.



Исходный вирус, Nymaim, использует шифрование, anti-VM, антидебаггинг и обфускацию последовательности выполнения программного кода, т.е. запутывание потока управления. До настоящего момента этот вирус использовался в основном в качестве дроппера. Дропперы (англ. Dropper) — семейство вредоносных программ (как правило, это троянская программа), предназначенных для несанкционированной и скрытой от пользователя установки на компьютер жертвы других вредоносных программ, содержащихся в самом теле дроппера или загружаемых по сети. Данный тип вредоносных программ обычно без каких-либо сообщений (либо с ложными сообщениями об ошибке в архиве, неверной версии операционной системы и т. д.) загружает из сети и сохраняет на диске жертвы файлы с их последующим выполнением.



Nymaim, насколько известно, создан командой разработчиков, которые управляют этим зловредом уже несколько лет. На данный момент следы присутствия дроппера обнаружены на ПК пользователей Европы, Северной Америки, Южной Америки.



Конечно, далеко не все операции злоумышленников, выполняемые с использованием Nymaim, задокументированы. Тем не менее, есть данные о 2,5 миллионах заражений с использованием Blackhole Exploit Kit (BHEK) только в конце 2013 года.







Исследователи из IBM отмечают, что Nymaim начал использовать модуль Gozi ISFB, DLL, ответственную за веб-инъекции, с 2015 года. Финальная же версия гибрида, которая является полноценной интеграцией двух зловредов, была обнаружена только в апреле 2016 года. В своей гибридной инкарнации Nymaim исполняется в первую очередь, а затем идет уже запуск исполняемого модуля Gozi ISFB.



Немного технической информации



Прежде чем слиться в единое целое, зловред Nymaim использовал DLL Gozi ISFB для внедрения в браузер жертвы и для проведения веб-инъекций. Размер DLL составлял около 150 КБ и представлял собой валидный Portable Executable (PE) файл.

Новые версии Nymaim стали использовать не DLL, а сам код Gozi ISFB. Вместо 150 КБ файла, Nymaim теперь выполняет инъекцию 40 КБ буфера в браузер. Этот буфер обладает всеми признаками Gozi ISFB. Но есть и отличия: сейчас это уже не валидный РЕ файл, его структура иная и представляет собой шелл-код. Здесь используется Import Address Table (IAT) и нет РЕ-заголовков.





Старая версия Nymaim, где используется Gozi ISFB DLL





Новый буфер и новая функция гибрида jmp_nymaim_code (ниже)







Эта часть кода выполняется всегда, когда Gozi ISFB требуется Nymaim для проведения операции. В данном случае функция подготавливает требуемые параметры, тип операции, размер выделяемой памяти и т.п. для Nymaim. Затем Nymaim вступает в работу и возвращает результат для Gozi ISFB.



MD5 хэш в этом случае — 2A9093307E667CDB71884ECC1B480245.



Как защититься?



Сделать это не так и просто. Описанный выше зловред является уникальным и может создать большие проблемы как частному лицу, так и всей компании. Для того, чтобы избежать такого развития событий, стоит следовать обычным правилам работы с информацией в организациях.



Правда, это далеко не всегда помогает, в особенности, если в компании много сотрудников, работающих с компьютерной техникой с выходом в Сеть.



В этом случае рекомендуем также использовать наши инструменты защиты: IBM Security Trusteer Pinpoint Malware Detection и IBM Security Trusteer Rapport. Указанные сервисы обеспечивают своевременное обнаружение зараженных устройств в сети, уничтожение malware, если система уже заражена, плюс предотвращают процесс, используя различные методы защиты.



Original source: habrahabr.ru (comments, light).

https://habrahabr.ru/post/282794/

Метки:   Комментарии (0)КомментироватьВ цитатник или сообщество
rss_rss_hh_new

Серверы IBM/Lenovo и сторожевой таймер: эпизод II

Среда, 13 Апреля 2016 г. 23:18 (ссылка)

Более чем полгода я потратил на совместное с аппаратной и программной технической поддержкой IBM расследование по поводу работы сторожевого таймера на серверах IBM/Lenovo в Linux. Начало этой детективной истории было описано в моей статье SLES 12, сторожевой таймер и серверы IBM/Lenovo. Сейчас, похоже, ситуация разъяснилась, и можно дать конструктивные рекомендации счастливым обладателям железа IBM/Lenovo xSeries.



Итак, вначале повторяем краткий ликбез из предыдущей статьи. В составе серверных и промышленных платформ имеется специальная схема – сторожевой таймер. Будучи активированным, он начинает отсчитывать заданное время (например, одну минуту). Если за это время к нему повторно не обратиться, то в конце интервала будет выполнена аппаратная перазагрузка. Если обратиться, то интервал начинает отсчитываться заново. Это нужно для того, чтобы автоматически восстановить работоспособность компьютера в случае зависания операционной системы или предоставляющего какой-то важный сервис программного обеспечения. Такое решение в обязательном порядке применяется в кластерах высокой готовности (HA) и других применениях, требующих постоянной готовности системы. Для компьютеров с архитектурой Intel используется несколько аппаратных интерфейсов сторожевого таймера, в зависимости от производителя системы, из них наиболее распространённым является Intel TCO (iTCO). В Linux драйверы сторожевого таймера реализованы как модули ядра, которые предоставляют программный интерфейс к нему в виде устройства /dev/watchdog.



На этом описание широко известных вещей закончено, дальнейшие факты мало отражены в интернете и не очень хорошо известны даже технической поддержке фирм-производителей оборудования и программного обеспечения.



Повсеместно принято считать, что в оборудовании с чипсетами Intel, в том числе и в Intel-серверах IBM, которые теперь выпускаются фирмой Lenovo, за интерфейс к сторожевому таймеру отвечает аппаратный уровень Intel TCO и поддерживающий его модуль ядра Linux iTCO_wdt. Тут следует отметить, что, при внимательном рассмотрении, архитектура Intel TCO сама по себе оказывается имеющей довольно существенный недостаток, а именно, получается, что процессор контролирует сам себя. Хотя теоретически ничто не должно помешать программе, работающей в режиме SMM, всегда выполнять свою работу, но ведь теоретически и операционная система не должна виснуть, не так ли? Поэтому наличие единой аппаратной точки уязвимости для процессора как исполнителя программ и для его же собственного сторожевого таймера выглядит не очень хорошо, если вы собираетесь строить систему с повышенной надёжностью.



Впрочем, я, вероятно, никогда бы не стал вдаваться в эти подробности и даже о них не узнал бы, если бы не то обстоятельство, что драйвер iTCO_wdt оказался совершенно неработоспособен на IBMовских серверах под SLES 12: драйвер загружается в память, но устройство /dev/watchdog не создаётся, а в системном журнале остаётся маленькое неприметное сообщение: “iTCO_wdt: unable to reset NO_REBOOT flag, device

disabled by hardware/BIOS”.



Поначалу я думал, что это регресс в SLES 12 по сравнению со SLES 11, так как в SLES 11 устройство /dev/watchdog было. Однако, благодаря взаимодействию с IBM и SUSE, выяснилось, что всё гораздо хуже. Оказывается, в SLES 11, в отличие от SLES 12, запись в каталоге /dev/watchdog создаёт само ядро при загрузке, а драйвер сторожевого таймера просто цепляется к этой записи. Поэтому в SLES 11 сторожевой таймер iTCO точно так же неработоспособен, как и в SLES 12, но заметить это гораздо сложнее, так как его неработоспособность маскируется наличием нефункционального /dev/watchdog.



Думаю, излишне добавлять, что никакие манипуляции с настройками BIOS, IMM, AMM и прочими замечательными приблудами, которых в xSeries имеется изобилие, никакого влияния на работоспособность Intel TCO не оказывают.



К счастью, после более чем полугода активной работы с технической поддержкой IBM по аппаратному и программному обеспечению, IBMерам удалось обнаружить один древний манускрипт, датированный 2008 годом. Оказывается, у фирмы Intel есть и другая архитектура для работы со сторожевым таймером – IPMI watchdog, которая поддерживается на платформе xSeries.



Суть IPMI (Intelligent Platform Management Interface) совершенно другая, чем у iTCO. В соответствии с архитектурой IPMI, где-то на материнской плате имеется специальный контроллер – по сути, отдельный компьютер – с собственным процессором, программным обеспечением, сетевым интерфейсом и прочими прибамбасами, предназначенный для отслеживания параметров работы основного компьютерного оборудования и имеющий возможность реагировать на их изменение заданным образом. В терминологии описания интерфейса IPMI, этот контроллер называется BMC (Baseboard Management Controller) или просто MC. В терминологии IBM/Lenovo, реализующее его функции устройство называется IMM (Integrated Management Module) или IMM2. BMC может делать много разных вещей, которые описаны в упомянутом манускрипте, но для нас сейчас существенно, что одной из его функций является сторожевой таймер. Понятно, что сторожевой таймер IPMI – это честное, отдельное от процессора Intel устройство, которое, в общем случае, работает независимо, пока не вышла из строя материнская плата в целом.



Приятным сюрпризом является то, что поддержка IPMI интегрирована в современные дистрибутивы Linux. Сама эта поддержка состоит из нескольких компонентов, из которых нас будут интересовать три.



Во-первых, это сервис ipmi.service, предоставляющий возможность коммуникации программ с BMC. В SLES 12 этот сервис устанавливается и стартует автоматически. Это можно проверить так:



systemctl status ipmi



и, при, необходимости, далее, как обычно:



systemctl start ipmi

systemctl enable ipmi



Во-вторых, это собственно драйвер сторожевого таймера IPMI, который так и называется: ipmi_watchdog. Он устанавливается автоматически, но автоматически не стартует (видимо, считается, что администратор должен быть уверен в настройках оборудования, прежде чем разрешать его аппаратную перезагрузку по таймауту). Загрузить этот драйвер вручную можно командой:



modprobe ipmi_watchdog



Включить его автоматическую загрузку при старте системы можно, создав в каталоге /etc/modules-load.d файл ipmi_watchdog.conf, состоящий из одной строчки:



ipmi_watchdog



В-третьих, это утилита ipmitool, которая устанавливается автоматически и позволяет выполнять различные команды BMC, в том числе, например, проверять статус сторожевого таймера:



ipmitool mc watchdog get



Если у вас в системе имеется BMC, в ответе на указанную команду вы получите что-нибудь вроде:



Watchdog Timer Use: SMS/OS (0x04)

Watchdog Timer Is: Stopped

Watchdog Timer Actions: No action (0x00)

Pre-timeout interval: 0 seconds

Timer Expiration Flags: 0x00

Initial Countdown: 300 sec

Present Countdown: 300 sec



Если у вас запускается, например, кластер высокой доступности, то он сам сконфигурирует правильные параметры работы сторожевого таймера (например, у меня в системе это период 5 секунд и акция Hard reset).



К сожалению, даже правильно установленные служба ipmi и драйвер ipmi_watchdog и наличие файла /dev/watchdog ещё не гарантируют, что всё работает, как надо. В чём же дело? Оказывается, что некоторые версии SLES 12 имеют отвратительную привычку по собственной инициативе загружать драйвер softdog, пытающийся эмулировать работу сторожевого таймера программным путём (занятие абсолютно бессмысленное и вредоносное). А так как при этом softdog загружается до ipmi_watchdog, то последний, не имея возможность создать уже созданный файл /dev/watchdog, по традиции скромно пробурчав что-то в недра системного журнала. Поэтому наша последняя задача – поискать собаку, дав команду



lsmod | grep dog



и проанализировав её результат. Если мы видим там ipmi_watchdog и не видим softdog, то, скорее всего, всё у нас работает правильно. Если там есть softdog – то его надо как-то изжить из системы, что в некоторых версиях SLES 12 может оказаться не вполне тривиальным делом.



Предполагаю, что работоспособность сторожевого таймера IPMI на оборудовании IBM/Lenovo может быть связана со значением параметра OSWatchdog, устанавливаемого в модуле IMM при помощи веб-интерфейса или утилиты asu. Этот параметр может принимать значение некоторого количества минут или быть выключенным. У меня он включён в 2.5 минуты (минимальное значение), на интервал сторожевого таймера, программируемый в BMC, это не влияет.



Итак, резюме. Корректным способом использования сторожевого таймера на платформе IBM/Lenovo могут показаться softdog, Intel TCO или IPMI, но, в действительности, работоспособным является только IPMI. Драйвер сторожевого таймера IPMI устанавливается в SLES автоматически, но требует ручного прописывания загрузки. Драйвер softdog устанавливается автоматически и иногда требует ручного запрещения загрузки. Драйвер Intel TCO устанавливается и загружается автоматически, но абсолютно ни на что не влияет, так как полностью неработоспособен на этой платформе.



Надеюсь, что эта статья поможет кому-нибудь чуть больше разобраться в непростом деле организации систем высокой доступности под Linux.



Original source: habrahabr.ru (comments, light).

https://habrahabr.ru/post/281565/

Метки:   Комментарии (0)КомментироватьВ цитатник или сообщество
rss_rss_hh_new

Когнитивный сервис от IBM распознает фото и рассказывает, что изображено на снимках

Пятница, 01 Апреля 2016 г. 19:49 (ссылка)





Распознавание изображений — одна из задач, с которой лучше всего справляются сервисы с элементами искусственного интеллекта. Корпорация IBM запустила в тестовом режиме проект, который позволяет любому пользователю проверить возможности когнитивной системы Watson касательно распознавания изображений.



Сервис работает с фотографиями или картинками (можно загружать свои файлы, указывать адрес картинки в Сети или попробовать поработать с фотографией, представленной компанией). Если распознавание прошло успешно, система укажет список объектов, предположительно изображенных на картинке или фото, а также покажет вероятность каждого предположения. При желании можно создать собственную категорию объектов (уточнить существующую категорию, либо создать новую).



Обычно распознавание изображений работает в полуавтоматическом режиме — на картинке выделяются определенные объекты, которые уже должен идентифицировать пользователь. Но сервис IBM (доступен по ссылке) самостоятельно выполняет такую работу, используя семантические классификаторы, создаваемые самой системой и вводимые разработчиками в процессе обучения. Распознавать когнитивная система может не только объекты, но и события или условия среды, при помощи таких характеристик, как цвет, текстура, форма или края изображения.



В работе сервис использует также платформу IBM Multimedia Analysis and Retrieval System (IMARS). Это дает возможность разработчикам обучать Watson, а также создавать приложения для своих нужд на основе возможностей когнитивной системы. Например, ритейлер может создавать тег, классификатор, имеющий отношение к его одежде (брюки определенной марки). И тогда при необходимости сервис может идентифицировать такую одежду, если фотография с ней появляется в сети. То есть продавец (или производитель) одежды может видеть, насколько популярен его товар среди пользователей Сети.







Кстати, сервис уже работает в тестовом режиме в интересах компании MP Maritime (доставка грузов морем). При помощи ресурсов IBM эта компания получает возможность отслеживать крупные грузовые корабли на спутниковых снимках. Возможности сервиса можно опробовать в среде Watson Developer Cloud на Bluemix.



Доступ к API — здесь. Есть также документация и форк сервиса на Github (здесь и здесь).



Original source: habrahabr.ru (comments, light).

https://habrahabr.ru/post/280708/

Метки:   Комментарии (0)КомментироватьВ цитатник или сообщество
rss_rss_hh_new

IBM и X Prize Foundation объявили конкурс по искусственному интеллекту с призовым фондом в $5 млн

Среда, 09 Марта 2016 г. 17:24 (ссылка)





Корпорация IBM вместе с организацией X Prize Foundation объявили конкурс Watson AI XPRIZE Cognitive Computing Competition. О старте конкурса объявили Дэвид Кенни (David Kenny), руководитель проекта IBM Watson, и Питер Диамандис (Peter Diamandis), председатель Фонда XPRIZE. Изначальная цель конкурса — использование искусственного интеллекта для выполнения прикладных задач, включая решение актуальных для человека проблем. К участию планируется привлечь команды разработчиков со всего мира.



Итоговая цель — объединение творческих умов в единое целое, создание команды, которая сможет генерировать креативные идеи, предлагать пути решения самых разных задач и проблем в медицине, промышленности, научной сфере, бизнесе. У Фонда XPRIZE в плане проведения конкурсов огромный опыт, поэтому IBM и решила объединить усилия с этой организацией.



Watson AI XPRIZE планируется проводить с 2017 по 2019 год. Участники будут представлять свои идеи и предлагать решения на ежегодной конференции World of Watson. Жюри будет определять победителей и распределять призовой фонд.



Конкурс также интересен отсутствием строгих правил, заданий и требований. Команды могут предлагать практически любые идеи, главное, чтобы они служили единой цели — решение прикладных задач с применением технологий когнитивной системы. Идеи будут оцениваться учеными, инженерами, сообществами TED и XPRIZE. Мнение сообществ будет учитываться при выставлении финальной оценки предложенным идеям.

Организаторы конкурса надеются, что участники смогут предложить идеи, способные «оказать положительное влияние на жизнь человечества, а также помогут произвести переворот в различных отраслях промышленности».







По мнению одного из руководителей конкурса, искусственный интеллект может помочь в поиске способов излечения раковых заболеваний, решить проблемы с изменениями климата. Перед участниками открываются «прекрасные, воодушевляющие возможности», пишет Стефани Уандер, член X Prize Development Associate.



В мае условия конкурса будут уточнены и дополнены, после чего начнется прием заявок от участников.



Original source: habrahabr.ru (comments, light).

https://habrahabr.ru/post/278887/

Метки:   Комментарии (0)КомментироватьВ цитатник или сообщество

Следующие 30  »

<ibm - Самое интересное в блогах

Страницы: [1] 2 3 ..
.. 10

LiveInternet.Ru Ссылки: на главную|почта|знакомства|одноклассники|фото|открытки|тесты|чат
О проекте: помощь|контакты|разместить рекламу|версия для pda