Уязвимость Shellshock

Обнаружены баги в bash, рядом с которыми Heartbleed бледнеет

 

На данный момент наиболее интересны для злоумышленников приложения, использующие CGI-скрипты (через mod_cgi и mod_cgid). Кстати, легко провериться на уязвимость можно вот здесь: shellshock.detectify.com.
На данный момент наиболее интересны для злоумышленников приложения, использующие CGI-скрипты (через mod_cgi и mod_cgid). Кстати, легко провериться на уязвимость можно вот здесь: shellshock.detectify.com.

Не так часто уязвимости удостаиваются собственного имени, а не порядкового номера. Совсем недавно так было с Heartbleed, а теперь у нас еще появилась Bashdoor aka Shellshock.
На самом деле Shellshock — это даже не один баг, а серия уязвимостей, обнаруженных в GNU bash. Напомню, что bash был разработан двадцать пять лет назад, так что баги оказались не просто старыми, а очень старыми. Если обрисовать проблему кратко, то основная беда заключена в безусловном исполнении кода, который следует за символами “() {”. Дело в том, что bash исполняет любую команду после определения функции, переданной в переменной окружения. Такие приложения, как Apache или DHCP, используют bash в дочерних процессах и используют переменные окружения для передачи данных. Штука в том, что эти данные могут поступать откуда угодно через интернет. Конечно, двадцать с лишним лет тому назад подобное никому в голову не приходило.
Здесь важно понимать масштаб бедствия. Мне не хватит никакого места, чтобы перечислить, где используется bash, — как минимум почти во всех Linux, BSD и OS X. То есть под угрозой оказываются не только домашние машины и серверы, но также маршрутизаторы, камеры, NAS и многие другие девайсы с веб-интерфейсом. Кроме того, баг настолько просто эксплуатировать, что уже сейчас примерами использования Shellshock завален весь интернет, и на базе уязвимости, разумеется, возможно создание малвари. В частности, представители консалтинговой компании Future South Technologies уже обнаружили румынский ботнет, от которого пострадали серверы Yahoo, WinZip и других компаний. Ботнет использовал в работе именно Shellshock.
Разумеется, уже выпущены патчи (так, Apple уже представила обновление OS X Bash Update 1.0), только они, увы, абсолютным спасением не являются. Просто представь, какой процент девайсов все равно останется не обновленным? У какого количества устройств отключены автообновления или для этой модели в принципе нет и больше не будет новых прошивок? А ведь баг можно эксплуатировать даже через протокол DHCP. Представил? Что ж, подтверждаем, да, дорогой читатель, все действительно настолько плохо.

Minecraft продан за 2,5 миллиарда

Нотч продал свое детище Microsoft и счел нужным объяснить причины

«Я стал символом. Я не хочу быть символом, не хочу нести ответственность за что-то огромное, чего толком не понимаю. Я не бизнесмен. Я не CEO. Я программер-нерд, которому нравится постить свою точку зрения на вещи в Твиттере».
«Я стал символом. Я не хочу быть символом, не хочу нести ответственность за что-то огромное, чего толком не понимаю. Я не бизнесмен. Я не CEO. Я программер-нерд, которому нравится постить свою точку зрения на вещи в Твиттере».

Пожалуй, Minecraft можно без колебаний назвать культовой и одной из самых популярных игр современности. Цифры здесь говорят сами за себя: более 100 миллионов загрузок только для PC. Minecraft до сих пор лидирует по продажам среди платных приложений для iOS и Android в США, а также среди игр для Xbox 360. Ее создатель Маркус «Нотч» Перссон совершенно не ожидал подобного успеха и уж точно не рассчитывал стать миллионером. Как выяснилось, груз такой ответственности оказался чрезмерным для Маркуса.
После того как Microsoft подтвердила, что студия Mojang до конца года перейдет под их начало, а тридцать сотрудников фирмы — в подразделение Microsoft Studios, Нотч счел нужным «объясниться». Перссон опубликовал пост в блоге (notch.net/2014/09/im-leaving-mojang/), рассказав, что пошел на это не из-за денег. Справедливости ради заметим, что в деньгах Перссон, и так ставший миллионером, явно не нуждался. Причиной Нотч назвал огромную ответственность, легшую на его плечи, когда Minecraft приобрел такую сумасшедшую популярность. Управлять таким бизнесом оказалось слишком тяжело, кроме того, Перссон всегда хотел быть разработчиком игр, а таковым он перестал ощущать себя уже довольно давно. В завершение стоит сказать, что сам Нотч и остальные сооснователи компании не перейдут работать в Microsoft, а займутся новыми проектами.

Reddit сделает пользователей совладельцами

Для этого понадобится создать собственную криптовалюту и не только

reddit

Дела у Reddit идут неплохо — недавно компания завершила очередной раунд финансирования, и объем инвестиций составил 50 миллионов долларов, значительную часть из которых предоставил президент инкубатора Y Combinator Сэм Альтман. Именно Альтман поведал в своем блоге о том, что Reddit намеревается передать порядка 10% своих акций пользователям ресурса.
Информацию подтвердил и CEO Reddit Ишан Вонг. Он рассказал, что команда Reddit давно ломала голову над тем, как сделать пользователей, являющихся главной ценностью ресурса, частью компании. Подробностей пока немного, но Вонг сообщил, что разработан некий безумный план, будет создана внутренняя криптовалюта ресурса, обеспечением которой станут акции Reddit. Криптовалюта будет распределяться между постоянными пользователями, сообразно их вкладу в сообщество. То есть пользователи станут совладельцами ресурса. Вонг подчеркнул, что криптовалюта будет распределяться не только на основе кармы и показателей вклада в сообщество, но и иными, пока не названными способами. Команда Reddit планирует не допустить никаких «накруток» и других хитростей.

Julian_Assange
«80% денег Google зарабатывает, собирая информацию о людях, сводя ее воедино, храня и индексируя, а также создавая профили пользователей, чтобы предсказывать их интересы и поведение. Потом эти профили продают рекламодателям и не только. Таким образом, принцип работы Google практически идентичен тому, что делает Агентство национальной безопасности США».
Подпись: Джулиан Ассанж в интервью BBC

Новый флагман NVIDIA

GTX 980 устарел, не успев поступить в продажу

Продажи NVIDIA GeForce GTX 980 и GTX 970 в исполнении Asus, Colorful, EVGA, Gainward, Galaxy, Gigabyte, Innovision 3D, MSI, Palit, PNY и Zotac уже стартовали. Цены начинаются с отметки 549 долларов в случае GTX 980 и 329 долларов для GTX 970.
Продажи NVIDIA GeForce GTX 980 и GTX 970 в исполнении Asus, Colorful, EVGA, Gainward, Galaxy, Gigabyte, Innovision 3D, MSI, Palit, PNY и Zotac уже стартовали. Цены начинаются с отметки 549 долларов в случае GTX 980 и 329 долларов для GTX 970.

Недавно компания NVIDIA представила видеокарты на основе полнофункционального графического чипа нового поколения — GM204 на архитектуре Maxwell, пришедшей на смену Kepler. Нам традиционно обещают непревзойденные графические возможности, удвоенную энергоэффективность и многое другое. Появились новые, крайне интересные технологии, к примеру технология воксельного глобального освещения (VXGI — Voxel Global Illumination), которая позволяет впервые на игровых GPU реализовывать динамическое глобальное освещение в режиме реального времени. А также многокадровое сглаживание (MFAA — Multi-Frame sampled AntiAliasing), динамическое суперразрешение (DSR — Dynamic Super Resolution) и так далее.
Однако все далеко не так радужно, как может показаться. Дело в том, что пока NVIDIA в очередной раз улучшала энергоэффективность, nextgen-консоли сделали большой шаг вперед — у них «под капотом» имеется по 8 Гб RAM + VRAM памяти, что, конечно, сказалось и на играх. Так, вышедшая недавно Shadow of Mordor на максимальных настройках потребует 6 Гб графической памяти (у GTX 980 всего 4 Гб), а Evil Within — 4 Гб. Разработчики игр теперь могут не ограничивать себя, что с радостью и делают. Как это ни прискорбно, получается, что флагман NVIDIA устарел еще до момента своего поступления в продажу.

 

Хитрый локер для Android

Мобильных блокировщиков становится все больше

 

locked

Малварь, вымогающая деньги за разблокировку устройства, — почти бессменный способ заработка преступников на протяжении уже многих лет. Конечно, вредоносы такого рода не могли не затронуть мобильные гаджеты, более того, число мобильных троянов-вымогателей неумолимо растет. Обычно подобная малварь работает по всем известной схеме: после запуска программа блокирует устройство и требует перевести куда-либо деньги (или отправить SMS на платный номер). Однако аналитики «Доктор Веб» недавно обнаружили более сложную модификацию такого зловреда.
Троянец Android.Locker.38.origin распространяется под видом системного обновления. После запуска малварь даже имитирует процесс установки якобы обновления, а затем удаляет свой значок с главного экрана, передает на удаленный сервер информацию об успешном заражении процесса и ждет дальнейших указаний. Команда на блокировку девайса может быть отдана как при помощи JSON-запроса с веб-сервера, так и в виде SMS, содержащего директиву set_lock. Получив команду, троянец блокирует устройство, демонстрируя сообщение с требованием выкупа (специалисты «Доктор Веб» отмечают, что закрыть его практически невозможно). Интересно, однако, другое. Если пользователь все же попытается отозвать у вредоноса права администратора, Android.Locker.38.origin подключает дополнительный уровень блокировки, что и отличает его от других локеров. Сначала троян уводит зараженное устройство в ждущий режим и блокирует экран. После разблокировки он демонстрирует фейковое предупреждение об удалении всей хранящейся в памяти устройства информации. Если пользователь соглашается, экран устройства вновь блокируется и троянец активирует встроенную в ОС функцию защиты паролем при выходе из ждущего режима. Неважно, была эта функция включена ранее или нет, локер устанавливает на разблокировку девайса собственный пароль (а именно 12345). Таким образом, зараженное Android-устройство окончательно блокируется до получения злоумышленниками оплаты или вплоть до полного сброса параметров девайса. Учитывая, что мобильные блокировщики сами по себе штука неприятная, подобный локер и вовсе почти не оставляет жертве шансов.

Самые надежные жесткие диски

Облачный провайдер Backblaze постоянно анализирует весь свой парк из 34 881 HDD в дата-центре (более 100 Пб данных) и регулярно формирует отчеты о надежности (или, напротив, ненадежности) различных моделей. Backblaze используют обычные, «домашние» HDD, так что информация небезынтересная.
Цифры:
—  Самый надежный: Hitachi Deskstar 7K2000 (2 Тб) — сломалось 1,1% при среднем сроке эксплуатации 3,4 года
—  Самый ненадежный: Seagate Barracuda 7200.14 (3 Тб) — сломалось 15,7% при среднем сроке эксплуатации менее двух лет.
—  Seagate ломаются в ~14 раз чаще Hitachi, при сроке эксплуатации почти вдвое меньшем.
—  Самыми старыми HDD в дата-центре Backblaze оказались Seagate Barracuda LP, Seagate Barracuda 7200.11 и Western Digital Caviar Green. Им в среднем по 4,3–4,6 года.
—  Самые популярные модели хардов у Blackblaze (емкость, количество, средний срок эксплуатации и процент отказов в год).

Новый ботнет для OS X

 

Яблочная зомби-сеть управляется через reddit.com
Яблочная зомби-сеть управляется через reddit.com

На 26 сентября 2014 года насчитывалось 17 658 IP-адресов зараженных устройств. Наибольшее их количество — 4610 (26,1% от общего числа) пришлось на долю США. На втором месте Канада с показателем 1235 адресов (7%). Третье место занимает Великобритания: здесь выявлено 1227 IP-адресов инфицированных компьютеров (6,9%).

Удивительно, но многие пользователи «яблочной» техники почему-то до сих пор пребывают в абсолютной уверенности, что малвари для Apple-девайсов почти не существует и это некий миф. Антивирусные компании, однако, постоянно твердят об обратном. Вот и компания «Доктор Веб» отчиталась об обнаружении нового ботнета из OS X устройств, насчитывающего как минимум 17 658 машин.
Причиной этой небольшой эпидемии стал вредонос Mac.BackDoor.iWorm. В целом троянец довольно обычен, есть только одно «но». Довольно интересно, что, вольготно устроившись в системе, вредонос открывает один из портов и ожидает входящего соединения, отправляя запрос на удаленный интернет-ресурс для получения списка адресов управляющих серверов, после чего подключается к удаленным серверам и ожидает поступления команд. Дело в том, что за списком адресов управляющих серверов бот обращается не куда-то, а к поисковому сервису сайта reddit.com, указывая в качестве запроса шестнадцатеричные значения первых восьми байт хеш-функции MD5 от текущей даты. По результатам поиска reddit.com отдает веб-страницу со списком управляющих серверов ботнета и портов, которые злоумышленники публикуют в виде комментариев к теме minecraftserverlists от имени пользователя vtnhiaovyd. Вот так и получается, что кто-то управляет ботнетами через Tor, а кто-то не заморачивается и делает это прямо через Reddit, притом вполне успешно.

Google ужесточает контроль над Android

Кроме того, «корпорация добра» недавно попыталась купить CyanogenMod
Cyanogen
ArsTechnica недавно стало известно, что Google попыталась купить CyanogenMod, но Cyanogen отказались, сославшись на то, что их компания пока развивается. Зачем Cyanogen понадобился Google, тот еще вопрос. Вариант «купить и закрыть» крайне маловероятен. Уникальных разработок и невероятной прибыли там тоже нет.
Ни для кого не секрет, что на данный момент экосистема Android являет собой настоящий хаос. Напомню, что, по последним данным, на руках пользователей находятся 18 796 разных моделей устройств на базе Android. Фрагментация рынка чудовищна. Подобное происходит еще и от того, что многие производители устанавливают на свои девайсы свободную и бесплатную версию AOSP, доступную с исходным кодом. Им, однако, запрещается предустанавливать Gmail, Google Play и другие фирменные программы Google (за это нужно платить немалые лицензионные отчисления). Недавно стало известно, что Google собирается еще ужесточить меры для AOSP.
Google уже подготовила новый регламент, который будет строго регулировать, как должны выглядеть приложения Google на Android-устройстве (буквально конкретные места, в которых должны размещаться виджеты и ярлыки). Например, поисковый виджет обязательно должен находиться вверху домашнего экрана. Кроме того, увеличится список приложений, обязательных для установки. Он уже прирастал в 2011 году, с девяти приложений до нынешних двадцати, но, как показывает практика, и этого оказалось мало.

Как опознать мошенническую транзакцию

Компания Sift Science, специально для хакатона Cats N’ Hacks, подготовила интересную подборку признаков, по которым можно отличить фродовую транзакцию от обычной. Анализ проведен на основе трехмесячной информации от всех клиентов, то есть сотен миллионов транзакций.

  • Мошенники интернациональны
  • У мошенников много аккаунтов, привязанных к одному устройству. Один аккаунт на устройство — доля фрода составляет 0,8. Но уже 2–3 аккаунта — и доля фрода выше в 10,5 раза. 4–7 аккаунтов — в 15 раз. 8–15 аккаунтов — в 16 и более раз.

  • Фродеры — «совы», пик мошеннических транзакций приходится на 2–3 часа ночи.=

  • Мошенники любят Microsoft. Почти 6% фродеров используют адреса на outlook.com. 3% на live.com. 2,5% на hotmail.com. =

  • Чем больше цифр в адресе почтового ящика, тем вероятнее, что это фродер=

 

nvidia
Думаешь, патентные войны отгремели? Вовсе нет. К примеру, NVIDIA обвинила Qualcomm и Samsung в нарушении семи патентов, затрагивающих типовые технологии, используемые в современных графических процессорах.


BC
В течение ближайших месяцев PayPal начнет принимать к оплате Bitcoin. Таким образом, принимать платежи BC смогут и миллионы пользователей интернет-аукциона eBay, который станет самой крупной компанией, принимающей к оплате виртуальную валюту.

archive
Компания ESET обнаружила троян Win32/Injector.BLWX. Интересно, что вредонос распространяется в файловом архиве, упакованном раритетным архиватором ARJ. В ESET поражены, что кто-то до сих пор им пользуется :).

Adobe-Logo
Компания Adobe закрыла представительство в России. Да, совсем. ООО «Адоб системс» уже снята с налогового учета. По официальной версии, это решение «не является свидетельством финансового положения компании в России или за рубежом».

Arduino Materia 101

Все больше бюджетных и вместе с тем интересных 3D-принтеров выходит на рынок

arduino_materia_101
Забавно, но Dremel явно рассчитывает в том числе на непродвинутых пользователей. Принтер комплектуется подробным бумажным руководством с глоссарием. К тому же для покупателей предусмотрена бесплатная техподдержка.

Сразу двумя интересными новинками в области 3D-печати порадовал прошедший месяц. Прекрасно знакомая всем нашим читателям компания Arduino решила расширить сферу деятельности и представила Materia 101, созданный совместно с итальянской компанией Sharebot. В качестве материала для печати принтер использует пластик PLA. Габариты у новинки довольно скромные: область печати 140 х 100 х 100 мм, горизонтальное разрешение 0,06 мм (60 микрон), вертикальное 0,0025 мм. Но не будем забывать, что это домашнее и бюджетное решение. Materia 101 будет использовать аппаратную платформу Arduino Mega 2560 с прошивкой Marlin и предустановленными настройками для печати PLA-пластиком. 3D-принтер будет предлагаться как в виде готового устройства, так и в виде наборов для самостоятельной сборки по цене не более 700 и 600 евро соответственно.
Еще одна небезызвестная компания — Dremel тоже не отстает. Принтер Dremel 3D Idea Builder также ориентирован на масс-маркет (его цена всего 999 долларов), тоже печатает из пластика PLA, и расходники стоят 29,99 доллара за катушку каждого из десяти цветов. Область печати составляет 230 х 150 х 140 мм, печать идет слоями толщиной 0,1/0,2/0,3 мм.


«Если вы ориентированы на конкурентов, придется ждать, пока они сделают хоть что-нибудь. Если же вы ориентированы на клиентов, то сами можете стать первопроходцами в своей отрасли».
Джефф Безос, основатель Amazon.com
Jeff Bezos

Почта автора Bitcoin скомпрометирована

Неизвестные получили контроль над ящиком Сатоши Накомото

BC2

Сайты bitcointalk.org и bitcoin.org и репозиторий на GitHub не были связаны с адресом satoshi@gmx.de и не могут быть перехвачены атакующими, ими можно пользоваться спокойно. Иконка:
Не стоит забывать, что идентификатором самого Сатоши всегда выступает его публичный ключ, так что отличить хакеров от автора BC будет не так сложно, если Накомото все же проявит себя.
Создатель самой популярной криптовалюты мира по-прежнему предпочитает оставаться в тени, однако его имя продолжает регулярно появляться в заголовках СМИ. На этот раз поводом послужил взлом почтового ящика satoshi@gmx.de (напомню, что кроме имени и этого адреса об авторе BC не известно ничего).
Первый сигнал тревоги прозвенел, когда кто-то явно посторонний добрался до адресной книги и принялся рассылать адресатам письма. В частности, администратор форума Bitcointalk.org сообщил, что получил от Сатоши письмо следующего содержания: «Майкл, скинь мне пару монет, пока я не нанял снайпера». Email явно не в духе Накомото, хотя адрес отправителя не был подделан, письмо действительно пришло с satoshin@gmx.de. Чуть позже в этот же день на P2Pfoundation появилось сообщение от анонима: «Уважаемый Сатоши, ваши документы, пароли и IP-адреса продаются в даркнете. Видимо, из-за неправильной настройки Tor ваш IP-адрес проявился, когда вы использовали почтовый аккаунт где-то в 2010 году. Вы в опасности. Нужно уехать оттуда, где вы находитесь, как можно быстрее, пока эти люди не навредили вам. Спасибо вам за изобретение Bitcoin».
Как выяснилось, тревоги комьюнити были не напрасны. В качестве подтверждения получения контроля над почтовым ящиком satoshi@gmx.de хакеры уже опубликовали на Pastebin скриншоты с содержимым приватных писем. Но, начав с почтового ящика, злоумышленники пошли дальше и поменяли содержимое проекта Bitcoin на SourceForge. Изменился блок с описанием проекта (Bitcoin поменяли на Buttcoin), а администраторов стерли из списков доступа. В настоящий момент прежнее содержимое страницы восстановлено, однако это сделали сами атакующие. Содержимое архивов с кодом и сборками Bitcoin пока не тронуто, но, само собой, в дальнейшем нельзя исключать возможность подмены файлов. Разумеется, из-за этого не рекомендуется использовать материалы с SourceForge, лучше обратиться к не затронутому атакой сайт bitcoin.org.
Сам Сатоши Накомото, отошедший от дел еще в 2011 году, по-прежнему сохраняет молчание. Известно ли ему об этом инциденте вообще, можно только гадать.


Android
В следующей версии Android появится встроенное шифрование данных (пока оно опционально), которое призвано защитить пользователей от излишне пристального внимания госслужб .


Symantec-logo
Symantec выпустила Norton Security, пришедший на смену девяти ранее существовавшим основным продуктам. Компания обещает вернуть деньги, если Norton не справится с какой-либо малварью.


duckduckgo
В Китае официально заблокировали поисковую систему DuckDuckGo. В самой компании о причинах запрета ничего не знают, формально считается, что дело в отсутствии у DDG серверов на территории Китая.


igg
На Indiegogo появятся опция бессрочного финансирования. То есть у сбора средств не будет никакого временного лимита. Интересно, как скоро другие краудфандинговые сайты переймут эту идею.



Оставить мнение