Проблемы Zoom

Из-за повсеместной самоизоляции и карантина приложение для организации видеоконференций Zoom обрело небывалую популярность: количество его пользователей возросло с 10 миллионов человек в декабре 2019 года до 300 миллионов в апреле 2020 года. Но вместе с огромной популярностью разработчики Zoom заполучили множество проблем.

Уязвимости

Все началось с того, что приложение раскритиковали ИБ-специалисты и отраслевые СМИ. В частности, было замечено, что приложение сливало пользовательскую информацию Facebook, лукавило на счет end-to-end-шифрования, а также не поясняло, зачем вообще собирает информацию о людях.

Кроме того, пользователи сообщали, что из-за бага в их списках контактов оказались сотни незнакомцев, использовавших тот же почтовый домен, а эксперты обнаруживали, что Windows-клиент Zoom преобразует UNC-пути в ссылки, тогда как Zoom для macOS позволяет локальному злоумышленнику или малвари получить в системе root-права.

Припомнили Zoom и прошлогоднюю уязвимость. Тогда при установке на macOS приложение поднимало на машине пользователя локальный веб-сервер с недокументированным API, который оставался в системе даже после удаления самого приложения и сохранял активность. В результате любой сайт, который посещал пользователь, мог взаимодействовать с этим веб-сервером. Это позволяло делать видеовызовы, подключаться к чужим звонкам и даже скрыто обновлять или переустанавливать само приложение (без каких-либо подтверждений со стороны жертвы). Также веб-сервер мог использоваться для DoS-атак, для чего было достаточно простых пингов.

Также стоит упомянуть и феномен Zoom-bombing. С ростом популярности приложения третьи лица стали все чаще присоединяться к видеоконференциям Zoom (онлайн-урокам, деловым встречам и так далее), чтобы сорвать встречу или пошутить, а затем поделиться записью пранка в социальных сетях. Об опасности этого явления предупредило ФБР, и правоохранители подчеркивали, что Zoom-bombing незаконен и за него можно понести наказание (штраф или даже тюремное заключение).

Однако предупреждения пранкеров не останавливают. К примеру, на удаленном занятии в одной из школ Массачусетса неопознанный человек присоединился к встрече и демонстрировал татуировки со свастикой на камеру. В другом случае неизвестные прервали занятие, оскорбляя преподавателя. Американский конгрессмен и вовсе рассказал, что в начале апреля злоумышленникам удалось сорвать встречу в Zoom, проводившуюся на самых высоких уровнях правительства США. Письмо об инциденте было направлено председателю комитета по надзору палаты представителей штата Огайо. Документ гласит, что, невзирая на все предупреждения со стороны СМИ и ФБР, чиновники использовали Zoom для проведения встречи, и в итоге брифинг прерывался из-за Zoom-bombing’а трижды.

Бойкот

Шквал критики со стороны экспертов и СМИ не мог остаться незамеченным в крупных компаниях и правительственных учреждениях, которые в последнее время тоже стали активно использовать Zoom.

В результате от Zoom стали официально отказываться многие крупные игроки. Так, еще в начале апреля стало известно, что Илон Маск запретил сотрудникам SpaceX использовать Zoom, так как приложение имеет «существенные проблемы с безопасностью и конфиденциальностью». Вместо этого было рекомендовано использовать старые добрые email и телефоны. Более того, вскоре и американское космическое агентство НАСА тоже запретило своим сотрудникам использовать Zoom, руководствуясь теми же причинами.

Вслед за НАСА и SpaceX компания Google лишила своих сотрудников доступа к Zoom. Теперь компания блокирует работу приложения на компьютерах и смартфонах, предоставляемых сотрудникам, поскольку безопасность Zoom не соответствует стандартам Google для приложений.

Дистанцируются от Zoom и другие: например, на Тайване Zoom запретили использовать правительственным служащим, так как трафик приложения проходит через серверы в Китае, а страны находятся не в лучших отношениях. Похожий запрет для своих членов выпустило и австралийское правительство. А в школах Нью-Йорка учителям тоже предложили «постепенно отказываться от Zoom» в пользу других сервисов для проведения видеоконференций.

В середине месяца издание Financial Times сообщило, что членам сената США и их сотрудникам разослали рекомендации, в которых использование Zoom не запрещают напрямую, но вместо этого приложению советуют подыскать альтернативу, например Skype for Business. Почти одновременно с этим немецкая газета Handelsblatt рассказала, что Министерство иностранных дел Германии тоже уведомило своих сотрудников о необходимости прекратить использование Zoom из соображений безопасности и конфиденциальности.

Ближе к концу апреля длинный список компаний и учреждений, отказавшихся от Zoom, пополнили и власти Индии: в стране запретили использование Zoom для проведения удаленных правительственных заседаний, сообщив, что платформа не подходит для использования государственными служащими и должностными лицами.

Работа над ошибками

Восстановить репутацию Zoom после всего случившегося определенно будет непросто, но разработчики не прячут голову в песок и сейчас посвящают все свое время повышению безопасности. Так, из-за жесткой критики со стороны ИБ-экспертов в начале апреля разработку приложения вообще остановили на 90 дней, и компания полностью сосредоточилась на этих вопросах, а также пообещала провести аудит с привлечением сторонних специалистов.

«Мы разрабатывали наш продукт, не предполагая, что через несколько недель каждый человек в мире вдруг станет работать, учиться и общаться из дома», — писал глава Zoom Эрик Юань, извиняясь за все обнаруженные в приложении проблемы.

К середине месяца в компании сформировали совет CISO, а также создали консультативный совет для сотрудничества и обмена идеями о том, как решать текущие проблемы безопасности и конфиденциальности Zoom. В него вошли CISO от VMware, Netflix, Uber, Electronic Arts и других крупных компаний.

Кроме того, Zoom привлекла в качестве консультанта Алекса Стамоса, бывшего главу безопасности Facebook, который поможет в проведении комплексного анализа безопасности платформы.

Стамос уже объявил о планах перейти с нынешней раскритикованной схемы шифрования на более проверенное и надежное решение. Так, Zoom заменит текущее шифрование 256-AES ECB более безопасным 256-AES GCM, и Стамос сообщает, что в долгосрочной перспективе планируется создать принципиально новый криптографический дизайн, который значительно снизит риски для Zoom-систем в целом.

Также партнером Zoom стала компания Luta Security, специализирующаяся на управлении программами раскрытия уязвимостей и организации bug bounty. Компанию возглавляет ветеран кибербезопасности Кэти Муссурис (Katie Moussouris). Основательница Luta Security наиболее известна тем, что координирует bug bounty программы для Microsoft, Symantec и Пентагона. И хотя у Zoom ранее уже была программа вознаграждения за уязвимости на платформе HackerOne, Luta Security поможет обновить ее и улучшить.

В своем Twitter Муссурис намекнула, что в ближайшее время к Zoom присоединятся и другие известные эксперты, в том числе специалистка по вопросам конфиденциальности Лея Кисснер (Lea Kissner) — бывшая глава Privacy Technology в Google, криптограф и профессор университета Джонса Хопкинса Мэттью Грин (Matthew Green), а также три известные аудиторские фирмы: Bishop Fox, NCC Group и Trail of Bits.

Но одной лишь организационной деятельностью дело не ограничивается. Разработчики Zoom уже устранили ряд обнаруженных экспертами недочетов. В частности, они извинились за путаницу вокруг E2E-шифрования, убрали из Zoom жутковатую функцию, позволявшую отслеживать внимание пользователей, а также избавились от кода, который сливал данные LinkedIn и Facebook.

Еще один немаловажный апдейт: для улучшения конфиденциальности из интерфейса Zoom наконец-то убрали ID собраний, который раньше отображался прямо в заголовке приложения. Проблема заключалась в том, что многие компании и пользователи обнародовали эти ID и даже пароли случайно, публикуя скриншоты своих собраний в социальных сетях. К примеру, премьер-министр Великобритании Борис Джонсон поделился ID заседания кабинета министров Великобритании, а члены парламента Бельгии случайно раскрыли идентификатор и пароль, опубликовав скриншот собрания комитета обороны. Подобные утечки идентификаторов как раз активно используются троллями и пранкерами, которые практикуют Zoom-bombing.

Также в приложении организаторам собраний стало значительно проще управлять настройками безопасности. Теперь для этого есть специальный значок на панели управления и организатор собрания может управлять всеми настройками безопасности из одного места, больше не нужно перемещаться по разным экранам.

Стоит сказать, что теперь Zoom проводит еженедельные вебинары «Спросите Эрика», в рамках которых глава компании Эрик Юань рассказывает об успехах компании и будущих функциях безопасности Zoom. Именно таким способом Юань сообщил о том, что пользователи сами смогут выбирать, какие центры обработки данных использует Zoom (напомню: властям Тайваня не понравилось, что трафик проходит через серверы в Китае), где будут храниться их данные, а также в приложении появится возможность сообщать о нарушителях.

Утечки данных

К сожалению, не обошлось и без утечек данных. Сначала специалисты компании IntSights обнаружили в продаже дамп, в который входят учетные данные пользователей Zoom (email, пароли), а также идентификаторы собраний, имена и ключи хостов. Тогда речь шла о сравнительно маленькой БД, содержащей лишь около 2300 записей.

Вскоре после этого эксперты компании Cyble сообщили, что на хакерских форумах и в даркнете можно найти примерно 500 тысяч учетных записей Zoom, которые порой раздают вообще бесплатно (таким образом злоумышленники пытаются завоевать себе репутацию в хакерском сообществе).

Исследователи объяснили, что найденные ими учетные данные — это результат атаки типа credential stuffing. Таким термином обозначают ситуации, когда имена пользователей и пароли похищаются с одних сайтов, а затем используются против других. То есть злоумышленники имеют уже готовую базу учетных данных (приобретенную в даркнете, собранную самостоятельно и так далее) и пытаются использовать эти данные, чтобы авторизоваться на каких-либо сайтах и сервисах под видом своих жертв.

Специалисты напомнили, что повторное использование одних и тех же паролей — это скверная идея, и рекомендуют пользователям, которые практикуют подобное, не рисковать и сменить пароли как можно скорее.

0day

Также стоит упомянуть интересную информацию, опубликованную изданием Vice Motherboard. Журналисты пишут, что в настоящее время на рынке существуют два эксплоита для уязвимостей нулевого дня в Zoom, которые позволяют атакующим взламывать пользователей и следить за их звонками. Один эксплоит предназначен для Windows, один для macOS.

Об эксплоитах изданию рассказали три собственных источника. При этом отмечалось, что сами источники не видели кода эксплоитов, но с ними связывались брокеры уязвимостей и предлагали данный «товар» для продажи.

«Насколько я знаю, сейчас для Zoom есть две уязвимости нулевого дня. <…> Одна из них влияет на OS X, а другая на Windows, — рассказал изданию Адриэл Десотелс (Adriel Desautels), основатель компании Netragard, которая раньше тоже занималась продажей уязвимостей. — Я не думаю, что у них будет долгий „срок жизни“, потому что, когда 0day начинают эксплуатировать, он обнаруживается».

Два других независимых источника, которые предпочли остаться анонимными, тоже подтвердили существование двух эксплоитов на рынке. Один из них говорит, что эксплоит для Windows — это чистая RCE-уязвимость, то есть проблема, допускающая удаленное выполнение произвольного кода, которая идеально подходит для промышленного шпионажа. При этом эксплоит для macOS не является RCE, согласно информации тех же источников.

По словам одного из источников, который занимается приобретением эксплоитов, но решил не покупать конкретно этот, в настоящее время за эксплоит для Windows просят 500 тысяч долларов. Анонимный эксперт считает, что реальная цена эксплоита составляет едва ли половину от этой суммы, так как у использования данной уязвимости есть немаловажный нюанс: нужно, чтобы хакер участвовал в звонке вместе целью. То есть для спецслужб, которые предпочитают тайное наблюдение, эта уязвимость, вероятнее всего, будет практически бесполезна.

«Zoom очень серьезно относится к безопасности пользователей. После того как мы узнали об этих слухах, мы работали с авторитетной компанией, лидирующей в отрасли, чтобы расследовать эти сообщения. На сегодняшний день мы не нашли каких-либо подтверждений этим заявлениям», — сообщили Vice Motherboard представители Zoom.

7,59 рынка принадлежит Edge

  • По данным NetMarketShare, теперь браузером Microsoft Edge пользуется больше людей, чем браузером Mozilla Firefox. Это делает Edge вторым по популярности браузером для десктопов в мире. Хотя Google Chrome по-прежнему лидирует с огромным отрывом и в настоящее время занимает 68,5% рынка.

  • В этом месяце Edge впервые превзошел Firefox по популярности и доле рынка. Так, еще год назад, весной 2019 года, Mozilla Firefox держался на уровне 9,27%, однако в течение года браузер постепенно терял позиции, и в итоге к марту 2020 года ему принадлежало лишь 7,19% рынка.

  • В свою очередь, Microsoft Edge год назад имел рыночную долю 5,20%, но за прошедшее время поднялся до отметки в 7,59%, то есть теперь опережает Firefox на 0,40%.

 

Кто хакнул OGU?

Эксперты сервиса мониторинга утечек данных Under the Breach обратили внимание, что один из популярнейших хакерских форумов в интернете — OGUSERS (он же OGU) сообщил о компрометации уже второй раз за последний год.

«Похоже, что кто-то сумел взломать сервер через шелл в загрузке аватаров в форумном софте и получил доступ к нашей текущей базе данных, датируемой 2 апреля 2020 года», — писал один из администраторов OGUSERS.

В итоге неизвестный злоумышленник похитил данные 200 тысяч пользователей, если верить официальной статистике, указанной на самом форуме. В настоящее время OGUSERS отключен и переведен в режим обслуживания.

Перед временным закрытием сайта администраторы уведомили пользователей, что сбрасывают пароли, а также призвали всех включить двухфакторную аутентификацию для учетных записей, чтобы похищенные в ходе атаки данные нельзя было использовать для взлома аккаунтов.

Напомню, что прошлый взлом OGUSERS произошел в мае 2019 года. Тогда атакующие проникли на сервер через уязвимость в одном из кастомных плагинов и получили доступ к бэкапу, датированному 26 декабря 2018 года.

Журналисты Vice Motherboard, изучившие копию украденной БД, сообщили, что она подлинная. Утечку исследовал и известный ИБ-журналист Брайан Кребс (Brian Krebs), который тоже подтвердил подлинность данных и отметил, что дамп содержал информацию о 113 тысячах пользователей OGU. Украденная у OGU база данных потом распространялась на других хакерских форумах.

Похищенная в этом году БД уже тоже была опубликована на конкурирующих хак-форумах.

Команда Tor уменьшается

Разработчики Tor Project объявили, что 13 из 35 разработчиков проекта в скором времени будут уволены. Виной этому непростая финансовая ситуация, в которой международная команда оказалась из-за пандемии коронавируса. Изабела Багеруш (Isabela Bagueros), исполнительный директор Tor Project, уверила, что разработка проектов продолжится и команда, несмотря на сокращения, сможет поддерживать работу серверов и заниматься развитием ПО (в том числе Tor и Tor Browser Bundle).

«Tor, как и большая часть мира, оказался вовлечен в кризис COVID-19. Кризис сильно ударил по нам, как и по многим другим некоммерческим организациям и предприятиям малого бизнеса, и нам пришлось принять ряд трудных решений. Мы вынуждены расстаться с 13 замечательными людьми, которые помогли сделать Tor доступным для миллионов людей по всему миру.

Мы будем двигаться дальше с основной командой, состоящей из 22 человек»

— Изабела Багеруш, исполнительный директор Tor Project

 

Pastebin сломал свой поиск

Издание Vice Motherboard обратило внимание, что ИБ-специалисты расстроены из-за решения разработчиков одного из самых популярных paste-сайтов, Pastebin. Дело в том, что исследователи постоянно мониторят данный ресурс, так как он давно стал хранилищем для различной сомнительной информации, в том числе ворованных личных данных, утекших паролей, манифестов хакерских групп и даже малвари.

Однако теперь исследователи начали жаловаться в социальных сетях на то, что им не удается воспользоваться поиском по Pastebin или заняться скрапингом при помощи специального API, за доступ к которому они некогда заплатили деньги (пожизненная подписка стоила 50 долларов).

«Многие люди и компании по разным причинам следили за Pastebin, так как он служит источником самой разной информации: от малвари до утечек данных. Внезапно отключить всех [от поиска], никак не предупредив и не предоставив даже короткий период перед закрытием, — это очень плохое решение со стороны Pastebin, — говорит Оливер Хаф, ИБ-исследователь, который регулярно использовал Pastebin в повседневной работе. — Учитывая, что они не слишком хорошо модерируют собственный контент, а теперь лишились бесплатной модерации контента через краудсорсинг, я могу лишь предполагать, что злоумышленники станут чаще использовать Pastebin в своих кампаниях, а возможности действовать на опережение, обнаруживая вредоносные полезные нагрузки и скрипты, прежде чем те будут использованы, больше нет».

После возмущения специалистов в Twitter и на других платформах представители компании ответили, что доступ к Scraping API был прекращен «из-за активного злоупотребления третьими лицами в коммерческих целях, а такая деятельность запрещена текущими правилами».

Как выяснили журналисты, Pastebin изменил свои условия предоставления услуг еще 11 апреля 2020 года. Так, ранее правила гласили:

«Исследователи имеют право скрапить общедоступную неприватную информацию на Pastebin для исследовательских целей и при условии, что любые материалы, основанные на этих данных, будут опубликованы в открытом доступе. Архивариусы могут скрапить публичную информацию на Pastebin в архивных целях. Вы не можете скрапить Pastebin с целью рассылки спама, а также в целях продажи личной информации пользователей Pastebin, в том числе рекрутерам, специалистам по подбору персонала и порталам по трудоустройству».

Увы, в новой версии документа упоминаний скрапинга нет вообще. Представители Vice Motherboard обратились за разъяснениями к представителям компании и получили следующий ответ:

«Мы продолжаем предоставлять обновления для нашего сообщества и улучшать код нашей платформы. Как вы знаете, Pastebin был создан более девятнадцати лет назад, для разработчиков разработчиками, но по мере роста мы меняемся, как и другие платформы. А также учимся у них. Мы всегда рады ИБ-исследователям и их сообщениям о любых нарушениях наших условий оказания услуг. Нашей основной аудиторией всегда были разработчики, инженеры и авторы. Мы продолжим обновляться, предлагая совершенно новые функции и изменения на нашей платформе, а также в социальных сетях».

В результате теперь ИБ-специалисты мрачно шутят о том, что Pastebin окончательно надоел нелегальный и противоправный контент, но бороться с ним разработчики решили весьма радикально, через отключение поиска. Ведь если никто не находит нарушения, можно сделать вид, что их нет.

Малварь и COVID-19

  • Эксперты Group-IB выяснили, какая малварь чаще всего эксплуатирует тему COVID-19 в своих фишинговых рассылках. В период с 13 февраля по 1 апреля 2020 года специалисты проанализировали сотни фишинговых писем, замаскированных под информационные и коммерческие рассылки о COVID-19.

  • Почти 65% вредоносных рассылок несли «на борту» шпионское ПО (spyware).

  • Наиболее популярными оказались программы-шпионы — 65%, второе место занимают бэкдоры — 31%, на шифровальщики приходится около 4%.

  • Наиболее востребованными у киберпреступников оказались трояны AgentTesla (45%), NetWire (30%) и LokiBot (8%).

  • Фейковые письма были написаны как на русском, так и на английском языках от имени авторитетных международных организаций, связанных со здравоохранением (ВОЗ, ЮНИСЕФ), а также крупных российских и международных компаний.

  • В целом процент фишинговых писем, паразитирующих на теме COVID-19, невысок и составил порядка 5% от всего вредоносного трафика.

 

Слив исходников TF2 и CS:GO

В конце месяца на 4chan были опубликованы исходные коды сразу двух игр компании Valve — CS:GO и Team Fortress 2, и оттуда они моментально распространились по всему интернету (Twitter, Reddit, торрент-трекеры, игровые форумы).

В игровом сообществе из-за этого поднялась нешуточная паника, так как пользователи немедленно предрекли появление RCE-эксплоитов и множества читеров. Дошло до того, что на игровых форумах, в социальных сетях и на Reddit стали появляться призывы ни в коем случае не запускать TF2 и CS:GO, так как якобы RCE-эксплоит уже существует и даже простое подключение к игровому серверу может полностью скомпрометировать компьютер игрока.

Интересно, что никаких подтвержденных данных о существовании каких-либо эксплоитов до сих пор нет. Про «RCE-эксплоит», о котором предупреждали друг друга игроки, ничего не знают ни отраслевые СМИ, ни ИБ-специалисты. Компания Valve, в свою очередь, уверяет, что никакой угрозы нет. Так, вице-президент Valve по маркетингу Даг Ломбарди (Doug Lombardi) прокомментировал ситуацию:

«Мы не обнаружили никаких причин для того, чтобы игроки волновались или избегали текущих билдов [наших игр]. Для максимальной безопасности мы, как обычно, рекомендуем играть на официальных серверах».

Valve заверила, что расследует случившееся, и просит сообщество поделиться информацией о том, кто может стоять за этой утечкой. Также в компании рассказали журналистам, что утекшие исходные коды были датированы концом 2017 года. Valve сама предоставляла их доверенным разработчикам игр и модов. Более того, Ломбарди говорит, что впервые эти исходники утекли в Сеть еще в 2018 году и Valve было известно об этом, просто та первоначальная утечка осталась практически никем не замеченной.

Но сообщество уже начало искать виноватых самостоятельно и поспешило возложить ответственность за инцидент на автора блога ValveNewsNetwork и известного инсайдера Тайлера Маквикера. Дело в том, что накануне утечки тот сообщал, что скоро опубликует материал о развитии Team Fortress 2.

В итоге Маквикер был вынужден оправдываться. Он провел в Twitch стрим, посвященный произошедшей утечке, а также повторил в социальных сетях, что ему известно, кто именно слил исходные коды, о чем он намерен уведомить юридический отдел Valve.

Стоит сказать, что панические настроения игроков все же нельзя назвать совсем необоснованными. Дело в том, что утечки исходных кодов действительно существенно облегчают «работу» злоумышленникам и читерам. Хотя в настоящее время никаких эксплоитов, похоже, не существует, они могут появиться в ближайшие недели или месяцы.

Проблема в том, что подобные прецеденты уже имели место. К примеру, в прошлом году эксперты Dr.Web рассказывали, как хакеры эксплуатируют уязвимости клиента Counter-Strike 1.6. По данным аналитиков, тогда из официального клиента Steam было доступно порядка 5000 серверов CS 1.6 и 1951 из них был создан трояном Belonard (то есть 39% всех игровых серверов). Подключение к таким серверам действительно было опасно и заканчивалось заражением Belonard.

Остается надеяться, что разработчики Valve тоже понимают, насколько опасными могут быть последствия утечки исходных кодов, и соответствующим образом обновят (или уже обновили) обе пострадавшие игры, ведь, несмотря на возраст, они по-прежнему пользуются большой популярностью у игроков и активно поддерживаются.

15 DDoS-сервисов ликвидированы

  • Власти Нидерландов закрыли сразу 15 сервисов для осуществления DDoS-атак по найму. В масштабной операции приняли участие представители веб-хостинговых компаний, регистраторы доменов, сотрудники Европола, Интерпола и ФБР. Названия закрытых сервисов пока не сообщают.

  • Одновременно с этим в Нидерландах был арестован 19-летний подозреваемый, устраивавший DDoS-атаки на правительственные сайты. Так, по его вине 2 голландских правительственных ресурса не работали на протяжении нескольких часов 19 марта 2020 года.

 

Взлом Bisq

Криптовалютная биржа Bisq приостановила торговлю из-за взлома, который привел к краже криптовалюты на сумму 250 тысяч долларов США.

О приостановке работы децентрализованный обменник сообщил в середине апреля. Пока Bisq не работала, разработчики планировали установить исправление, устраняющее некую критическую уязвимость. Так как Bisq — это peer-to-peer-решение, пользователи могли бы проигнорировать это сообщение, но разработчики крайне не рекомендовали так поступать и объясняли, что эти меры принимаются ради безопасности самих пользователей.

По информации портала CoinDesk, проблема у Bisq возникла после недавнего обновления, которое должно было повысить стабильность. Однако это же обновление содержало уязвимость, благодаря которой киберпреступники получили возможность манипулировать резервными адресами и обходить временные ограничения, что в итоге позволило направить средства на кошельки, подконтрольные атакующим.

Из официального заявления Bisq следует, что с помощью этой тактики у семи жертв были похищены по меньшей мере 3 Bitcoin и 4000 Monero. Таким образом, суммарный ущерб от атаки составил примерно 250 тысяч долларов США.

В настоящее время уязвимость устранена, и Bisq уже возобновила работу. И хотя внедрение патча, похоже, помогло решить проблему безопасности, оно также вызвало волнения в рядах трейдеров. Так, многие пользователи сообщали о провалах сделок и исчезновении средств после обновления до версии 1.3.1, содержащей патч. В ответ на это разработчики Bisq рекомендовали проверять информацию о сделках в разделе Open trades в профилях пользователей и при необходимости сообщать о проблемах с заблокированными средствами.

Пиратство на подъеме

Сотни миллионов людей остаются дома из-за пандемии коронавируса, и по всему миру наблюдаются изменения в характере интернет-трафика. Так, часть населения сейчас работает из дома, тогда как другие люди проводят время в Сети в поисках новостей и развлечений. Из-за этого, например, значительно возрос трафик легальных потоковых сервисов. Но журналисты издания Torrent Freak заметили, что одним лишь легальным контентом пользователи не ограничиваются.

  • За период с декабря 2019 по конец февраля 2020 года количество китайских посетителей на пиратских сайтах существенно увеличилось. Резкий прирост посещений пиратских сайтов начался 24 января, достигнув своего пика 27 января. После этого трафик немного снизился, но в конце февраля он все еще был примерно на 20% больше, чем до эпидемии.
  • Загрузки торрентов в период с 6 марта по 6 апреля 2020 года тоже возросли. Если раньше наблюдалось порядка 12 000 000 ежедневных загрузок, то теперь их количество увеличилось до 16 000 000, то есть на 33%.
  • Всплеск активности заметен и на уровне торрент-трекеров. К примеру, оператор трекера OpenTrackr.org сообщил изданию, что наблюдает увеличение общего числа соединений, а также количества подключенных пиров. В период с 31 марта по 6 апреля ежедневное пиковое количество пиров увеличилось с 24 000 000 до 26 000 000.
 

Cloudflare без reCAPTCHA

Компания Cloudflare сообщила, что намеревается перейти на использование альтернативного сервиса для обнаружения ботов hCaptcha, разрабатываемого калифорнийской компанией Intuition Machines, Inc.

Сооснователь и исполнительный директор Cloudflare Мэттью Принс (Matthew Prince) объясняет, что на этот шаг компанию заставили пойти планы Google. Дело в том, что в ближайшем будущем ИТ-гигант собирается начать взимать плату за использование reCAPTCHA. Для Cloudflare это будет означать дополнительные расходы в размере нескольких миллионов долларов в год. И эти расходы компании пришлось бы брать на себя, чтобы не возлагать на клиентов.

Сейчас Cloudflare использует Google reCAPTCHA в своих продуктах IP Firewall и Gatebot. То есть reCAPTCHA применяется в том случае, если защищенный Cloudflare сайт подвергается DDoS- или другой автоматизированной атаке. В такой ситуации пользователям предлагают заполнить форму reCAPTCHA перед доступом на сайт.

Также Cloudflare использует reCAPTCHA для работы функции Security Levels, позволяя администраторам сайтов включать reCAPTCHA для всех входящих пользователей. Таким образом администратор получает простейший инструмент для фильтрации трафика и ограничения скорости, вне зависимости от того, находится сайт под атакой или же нет.

Теперь представители Cloudflare пишут, что Google, конечно же, имеет полное право брать деньги за reCAPTCHA, но Cloudflare будет вынуждена перейти на использование другого сервиса.

Обычно Intuition Machines, разрабатывающая hCaptcha, зарабатывает деньги, предоставляя доступ к hCaptcha компаниям, которые хотят провести эксперимент в области классификации изображений, а также платит владельцам сайтов за размещение hCaptcha.

В случае Cloudflare все будет наоборот: это Cloudflare будет платить калифорнийской компании. По словам Принса, это гарантирует, что у Intuition Machines будут ресурсы для масштабирования инфраструктуры, которая удовлетворит требования Cloudflare. Разумеется, оплата услуг hCaptcha тоже означает дополнительные расходы для компании, но глава Cloudflare поясняет, что эти расходы лишь крупица по сравнению с возможными затратами на reCAPTCHA.

Кроме того, использование hCaptcha решит две другие проблемы, с которыми Cloudflare приходилось сталкиваться при использовании reCAPTCHA. Во-первых, reCAPTCHA порой блокируется в Китае, а значит, Cloudflare не может использовать продукт Google для китайских сайтов и пользователей. Во-вторых, Cloudflare давно тревожит политика Google по сбору конфиденциальных данных. Принс пишет, что теперь Cloudflare больше не придется беспокоиться об этом, поскольку hCaptcha собирает гораздо меньше данных о пользователях, заполняющих формы.

Разблокировка Telegram

Депутаты Госдумы от «Справедливой России» подготовили законопроект о прекращении блокировок Telegram. Идея возникла из-за того, что сейчас Telegram, по сути, оказался «официальным сервисом» госорганов, через который они распространяют информацию о коронавирусе. Законопроект уже направили премьер-министру Михаилу Мишустину, а также в Минкомсвязи.

«В большинстве случаев Telegram работает у российских пользователей без каких-либо помех, а в случае их наличия в стране сформировано широкое предложение бесплатных средств обхода блокировок. Дальнейшая декларативная блокировка мессенджера, таким образом, наносит урон не его развитию, а престижу государственной власти РФ»

— Федот Тумусов и Дмитрий Ионин, авторы законопроекта

 

Атаки на юзеров Nintendo

В середине апреля пользователи Nintendo стали массово жаловаться на компрометацию учетных записей. Неизвестные лица входили в чужие аккаунты из самых разных стран мира, и многие пострадавшие теряли деньги в результате таких инцидентов. В некоторых случаях хакеры покупали игры Nintendo за чужой счет, но чаще всего приобретали игровую валюту Fortnite через привязанную к профилю Nintendo карту или аккаунт PayPal.

При этом было не ясно, как именно злоумышленники взламывают аккаунты. Рассматривалась вероятность, что хакеры используют атаки типа credential stuffing, но это лишь одна из теорий. Напомню, что таким термином обозначают ситуации, когда имена пользователей и пароли похищаются с одних сайтов, а затем используются против других. То есть злоумышленники имеют уже готовую базу учетных данных (приобретенную в даркнете, собранную самостоятельно и так далее) и пытаются использовать эти данные, чтобы авторизоваться на каких-либо сайтах и сервисах под видом своих жертв. Однако многие пострадавшие сообщали, что использовали для своих учетных записей сложные и уникальные пароли, в том числе созданные с помощью парольных менеджеров.

В итоге компания Nintendo все же подтвердила факт атак и сообщила, что неизвестные злоумышленники взломали учетные записи примерно 160 тысяч пользователей. Как выясняется, проблема действительно заключалась не в атаках credential stuffing и переборе наиболее распространенных комбинаций учетных данных.

Игровая компания утверждает, что хакеры вместо этого воспользовались интеграцией с NNID, то есть Nintendo Network ID, чтобы получить доступ к чужим профилям. NNID — это устаревшая логин-система, используемая для управления учетными записями на старых платформах Wii U или Nintendo 3DS. На новых устройствах Nintendo пользователи также могут связать свои старые учетные записи NNID с профилем Nintendo.

Представители Nintendo не уточнили, что именно произошло, но заявили, что NNID больше не поддерживается и войти таким образом в основной профиль Nintendo не получится.

Nintendo предупреждает своих клиентов, что хакеры могли получить доступ к информации учетной записи, такой как никнейм, дата рождения, страна, регион и адрес электронной почты. Компания уже связывается с пострадавшими, чтобы инициировать сброс паролей как для основных учетных записей, так и для учетных записей NNID.

18 000 000 «коронавирусных» писем

  • Разработчики Google адаптируют машинное обучение для борьбы с мошенниками, киберпреступниками и правительственными хакерами, которые активно используют тему пандемии коронавируса для фишинговых атак.

  • Только за одну неделю компания заблокировала более 18 000 000 фишинговых писем, связанных с COVID-19 и нацеленных на пользователей Gmail.

  • Такой «коронавирусный» фишинг составляет примерно 2,5% от 100 000 000 фишинговых писем, которые Google блокирует ежедневно.

  • Также разработчики сообщили о блокировании 240 000 000 ежедневных спам-сообщений, связанных с COVID-19.

 

Ненадежные отпечатки

Считается, что биометрическая аутентификация — это более безопасная альтернатива традиционным паролям. Аутентификация посредством отпечатков пальцев в настоящее время наиболее распространенная форма биометрии и используется в смартфонах, ноутбуках и других устройствах, таких как умные замки и USB-накопители.

Однако проведенное экспертами Cisco Talos исследование показало, что в 80% случаев аутентификацию с помощью отпечатков пальцев можно без труда обойти.

Для своих тестов исследователи брали отпечатки пальцев непосредственно у целевого пользователя устройства или с поверхностей, к которым притрагивалась потенциальная жертва. При этом специалисты установили относительно низкий бюджет для этого исследования, чтобы определить, чего может достичь атакующий с ограниченными ресурсами. Так, в общей сложности они потратили около 2000 долларов на тестирование устройств Apple, Microsoft, Samsung, Huawei и других.

Эксперты обрабатывали полученные отпечатки фильтрами для повышения контрастности, использовали 3D-принтер для создания слепков, а затем формировали поддельный отпечаток, заполняя эту форму недорогим клеем. При работе с емкостными датчиками материалы также должны были включать графит и алюминиевую пудру для увеличения проводимости.

Аналитики проверили поддельные отпечатки пальцев на оптических, емкостных и ультразвуковых дактилоскопических сканерах, но не обнаружили каких-либо существенных различий с точки зрения безопасности. Зато в Cisco Talos отмечают, что достигли наилучших показателей, атакуя ультразвуковые сенсоры — новейший тип, обычно они встроены прямо в дисплей устройства.

Легче всего обмануть при помощи фальшивых отпечатков пальцев удалось замок AICase, а также смартфоны Huawei Honor 7x и Samsung Note 9 на базе Android. Для этих девайсов атаки были успешными в 100% случаев. Почти столь же успешными были атаки на iPhone 8, MacBook Pro 2018 и Samsung S10, где показатель успеха составил более 90%. Пять моделей ноутбуков под управлением Windows 10 и два USB-накопителя (Verbatim Fingerprint Secure и Lexar JumpDrive F35) показали наилучшие результаты: обмануть их при помощи фальшивки не удалось.

Таким образом, в случае с мобильными телефонами исследователи обошли аутентификацию по отпечаткам пальцев на подавляющем большинстве устройств. На ноутбуках удалось добиться 95% успеха (особенно легко было с MacBook Pro), а вот обойти защиту устройств с Windows 10 на борту, использующих фреймворк Windows Hello, не получилось вовсе.

Аналитики пишут, что, хотя обмануть биометрическую аутентификацию на Windows-машинах и USB-накопителях им не удалось, это еще не означает, что они так хорошо защищены. Просто для их взлома нужен другой подход. Вряд ли они устоят перед атакующим с хорошим бюджетом, большим количеством ресурсов и профессиональной командой.

Хотя Samsung A70 тоже продемонстрировал стойкость, исследователи объясняют, что его биометрическая аутентификация попросту работает крайне плохо и зачастую не распознает даже реальные отпечатки пальцев, которые были зарегистрированы в системе.

Основываясь на полученных результатах, специалисты делают вывод, что технология аутентификации по отпечаткам пальцев еще не достигла уровня, после которого ее можно будет считать надежной и безопасной. Фактически исследователи пишут, что аутентификация по отпечаткам пальцев на смартфонах стала слабее по сравнению с 2013 годом, когда компания Apple представила Touch ID для iPhone 5, а затем эта система была взломана.

«Результаты показывают, что отпечатки пальцев достаточно хороши, чтобы защитить личную жизнь рядового человека, если он потеряет свой телефон. Однако человек, который может стать мишенью хорошо финансируемого и мотивированного атакующего, не должен использовать аутентификацию по отпечаткам пальцев.

Для обычного пользователя аутентификация по отпечатку пальца имеет очевидные преимущества и предлагает интуитивно понятный уровень безопасности. Однако если пользователь оказался потенциальной целью для злоумышленников с хорошим бюджетом, а его устройство содержит конфиденциальную информацию, мы рекомендуем полагаться на надежные пароли и двухфакторную аутентификацию на основе токенов», — резюмируют эксперты Cisco Talos.

Дыры мобильного банкинга

Эксперты Positive Technologies изучили банковские мобильные приложения и выяснили, что более половины всех уязвимостей содержатся в серверных частях приложений, а в каждом втором мобильном банке возможны мошеннические операции и кража денежных средств.

  • Было изучено 14 полнофункциональных банковских мобильных приложений для Android и iOS, загруженных из официальных магазинов Google Play и App Store не менее 500 000 раз.

  • Ни одно из исследованных мобильных банковских приложений не обладало приемлемым уровнем защищенности.

  • 43% приложений хранят важные данные на мобильном устройстве в открытом виде. При этом 76% уязвимостей можно эксплуатировать без физического доступа к устройству, а более 1/3 уязвимостей не требуют административных прав.

  • Все недостатки, выявленные в мобильных банках для iOS, были не выше среднего уровня риска. 29% приложений для Android содержали уязвимости высокого уровня риска.

Доля уязвимостей различного уровня риска
Доля уязвимостей различного уровня риска
  • 54% всех уязвимостей содержатся в серверных частях мобильного банка, а серверная часть каждого мобильного банка содержит в среднем 23 уязвимости. При этом 3 из 7 серверных частей приложений имеют ошибки бизнес-логики.
Среднее количество уязвимостей на одно приложение
Среднее количество уязвимостей на одно приложение
  • В каждом втором мобильном банке возможно проведение мошеннических операций. Наиболее уязвимыми в мобильных банковских приложениях оказались аутентификационные данные.

  • К счастью, для эксплуатации 87% уязвимостей злоумышленнику требуются действия со стороны пользователя.

Топ-10 проблем в приложениях
Топ-10 проблем в приложениях
 

Большой слив DoppelPaymer

Операторы вымогателя DoppelPaymer опубликовали в Сети данные, похищенные у промышленного подрядчика Visser Precision, так как компания не заплатила выкуп.

Напомню, что в последние месяцы операторы шифровальщиков стали все чаще публиковать в открытом доступе данные, похищенные у пострадавших компаний. Такая информация может включать финансовые документы компании, личную информацию сотрудников и клиентские данные.

Разработчики малвари призывают аффилированных лиц копировать данные жертв перед шифрованием, чтобы затем эту информацию можно было использовать в качестве рычага давления (а если это не поможет, обнародовать или продать). Собственные сайты для этих целей уже завели разработчики вымогателей Maze, DoppelPaymer, Sodinokibi (REvil) и другие.

Компания Visser Precision, пострадавшая от атаки DoppelPaymer, — это один из крупнейших подрядчиков в США, в число клиентов которого входят промышленные предприятия, а также компании аэрокосмической и автомобильной отрасли (например, Lockheed Martin, SpaceX, Tesla, Boeing, Honeywell, Blue Origin, Sikorsky, Joe Gibbs Racing).

DoppelPaymer атаковал Visser Precision в марте текущего года. Так как компания не заплатила выкуп в установленный срок (как правило, вымогатели требуют сотни тысяч или даже миллионы долларов за восстановление зашифрованных файлов), злоумышленники претворили свои угрозы в жизнь и опубликовали в открытом доступе подборку похищенных документов.

Утечка затронула данные таких клиентов Visser Precision, как Tesla, Lockheed Martin, Boeing и SpaceX. Издание The Register пишет, что среди обнародованной документации можно найти закрытую информацию о военном оборудовании, разработанном Lockheed Martin, например спецификации антенны для системы защиты от минометов. Также была опубликована финансовая документация, информация о поставщиках, отчеты об анализе данных и юридические документы.

Журналисты обратились за комментарием ко всем пострадавшим компаниям, но ответов от Visser Precision, Tesla, SpaceX и Boeing не получили. Лишь представители Lockheed Martin сообщили изданию, что им известно о ситуации с Visser Precision, и в настоящее время компания следует стандартному процессу реагирования на потенциальные киберинциденты, связанные с цепочкой поставок.

«Lockheed Martin вкладывала и продолжает вкладывать значительные средства в кибербезопасность и использует лидирующие в отрасли методы в области защиты конфиденциальных данных. Когда это уместно, мы готовы предоставить нашим поставщикам рекомендации и оказать им помощь в повышении их уровня информационной безопасности», — говорят в Lockheed Martin.

14 уязвимостей на одной машине

  • Эксперты Kenna Security проанализировали, как меняется ландшафт атак в зависимости от используемой жертвой операционной системы. Для этого исследователи изучили данные, полученные с 9 000 000 устройств из 450 различных компаний и организаций.

  • Выяснилось, что более 50% компаний используют различные версии Windows и лидирует среди них Windows 10 с показателем 85%.

  • В общей сложности на машинах под управлением Windows 10 эксперты выявили более 215 000 000 уязвимостей.

  • В среднем на одну машину с Windows 10 приходится 14 уязвимостей, которые используют преступники. То есть эксплоиты для этих проблем написаны и активно применяются.

 

Нулевой день в iOS

Специалисты компании ZecOps сообщили о 0day-уязвимости в iOS, которая, по их данным, использовалась хакерами с 2018 года или даже дольше. В частности, проблему удалось воспроизвести даже в iOS 6, выпущенной в 2012 году.

Исследователи писали, что эксплуатация уязвимости не требует какого-либо взаимодействия с пользователем и злоумышленникам достаточно просто отправить жертве вредоносное письмо. Если пользователь получит почту или откроет Apple Mail, эксплоит сработает. При этом для Gmail и других почтовых клиентов атака неактуальна.

В своем отчете эксперты ZecOps подчеркивали, что уязвимость уже давно эксплуатируют хакеры. В частности, исследователи обнаружили попытки атак на частных лиц и компании из списка Fortune 500 в Северной Америке, руководство японской компании-перевозчика, германского поставщика услуг управляемой безопасности, европейского журналиста и так далее. При этом отмечалось, что обнаруженные атаки хорошо подходят под «профиль» одной известной правительственной хак-группы, но ее название не раскрывалось, так как эксперты все же опасались ошибиться с атрибуцией.

В ответ на это эксперты Apple сделали официальное заявление. Как пишут инженеры компании, они тщательно изучили информацию о найденных специалистами проблемах и считают, что эксперты ошиблись — уязвимости не использовались для атак на пользователей. При этом, что проблемы действительно есть, компания не отрицает.

«К любым сообщениям об угрозах безопасности Apple относится серьезно. Мы тщательно изучили отчет исследователей и, основываясь на предоставленной информации, пришли к выводу, что эти проблемы не представляют непосредственного риска для наших пользователей. Исследователи выявили три проблемы в [Apple] Mail, но сами по себе они не могут использоваться для обхода средств защиты iPhone и iPad, и мы не нашли доказательств того, что они применялись против наших клиентов. Эти потенциальные проблемы будут устранены в ближайшее время с обновлением ПО. Мы ценим участие ИБ-исследователей, которые стремятся помочь обеспечить безопасность наших пользователей, и обязательно выразим им благодарность за помощь и участие», — пишут эксперты Apple.

Стоит сказать, что опубликованные ZecOps заявления вызвали немало вопросов и у ИБ-специалистов. Так, некоторые эксперты выразили крайние сомнения в том, что обнаруженные ошибки могли использоваться против пользователей в реальной жизни.

Дело в том, что исследование ZecOps основывалось на crash-логах, обнаруженных на якобы пострадавших устройствах. Данные из этих логов были интерпретированы как попытки эксплуатировать баг и атаковать пользователя. В частности, эксперты ZecOps писали, что неудачные попытки атак оставляли после себя пустые письма и crash-лог устройства. Тогда как удачные атаки якобы заканчивались удалением пустых электронных писем, чтобы скрыть атаку от пользователя.

Но другие ИБ-специалисты отмечали, что, если бы злоумышленники удаляли пустые электронные письма для сокрытия следов, скорее всего, они удаляли бы и crash-логи с пострадавших девайсов. Поэтому многие заключили, что аналитики ZecOps нашли «испорченные» электронные письма, появившиеся из-за обычного бага, а не злонамеренные атаки на пользователей iOS. Заявление Apple лишь подтвердило эти выводы.

В свою очередь, специалисты ZecOps пообещали опубликовать дополнительную информацию об уязвимостях и PoC-эксплоит, как только патч станет доступен для всех пользователей iOS. Так, 15 апреля 2020 года Apple выпустила бета-версию iOS 13.4.5, где уязвимости были исправлены, и теперь остается дождаться релиза стабильной версии iOS 13.4.5 в ближайшие недели.

Мария Нефёдова

Мария Нефёдова

Блондинка, гик, книжный червь, синефил. Редактор ленты новостей; иногда автор Сцены.

Check Also

Безопасность Android. От первой до 11-й версии

Долгое время Android имел славу медленной, небезопасной и в целом убогой ОС, предназначенн…

Оставить мнение