MEGANews. Самые важные события в мире инфосека за май

Удаление Flash

Сог­ласно дав­но про­думан­ному про­изво­дите­лями пла­ну, с нас­тупле­нием 2021 года под­дер­жка Adobe Flash Player была окон­чатель­но прек­ращена. Это зна­чит, что ком­пания Adobe офи­циаль­но прек­ратила рас­простра­нять Flash Player и обновлять его, а раз­работ­чики бра­узе­ров перес­тали под­держи­вать пла­гины Flash. Кро­ме того, в код Flash Player заранее внед­рили ава­рий­ный «рубиль­ник», который пре­дот­вра­щает запуск любого Flash-кон­тента начиная с 12 янва­ря 2021 года.

В прош­лом году, готовясь к окон­чатель­ному прек­ращению под­дер­жки Flash Player, ком­пания Microsoft соз­дала обновле­ние KB4577586, пред­назна­чен­ное для уда­ления Adobe Flash из всех вер­сий Windows 8, 10 и Windows Server, а так­же пре­дот­вра­щения его пов­торной уста­нов­ки.

Тог­да обновле­ние было дос­тупно толь­ко через офи­циаль­ный каталог и его нель­зя было уда­лить пос­ле уста­нов­ки. Впро­чем, обновле­ние не было обя­затель­ным, хотя в фев­рале его при­нуди­тель­но раз­верну­ли на некото­рых машинах под управле­нием Windows 10.

В целом в ком­пании обе­щали, что в начале 2021 года это обновле­ние рас­простра­нят через WSUS и Windows Update и сде­лают обя­затель­ным. Теперь в бло­ге Microsoft появи­лось сооб­щение, в котором рас­кры­вают­ся даль­нейшие пла­ны отно­ситель­но KB4577586.

С июня 2021 года Microsoft пла­ниру­ет вклю­чить KB4577586 в сос­тав опци­ональ­ных накопи­тель­ных preview-обновле­ний для Windows 10 1809 и более поз­дних вер­сий. В июле KB4577586 вой­дет уже в обя­затель­ные пакеты накопи­тель­ных обновле­ний для Windows 10 1507 и более поз­дних вер­сий, а так­же в Windows Server 2012, Windows 8.1 и Windows Embedded 8 Standard. Так­же ста­ло извес­тно, что в Windows 21H1 обновле­ние KB4577586 будет уста­нав­ливать­ся авто­мати­чес­ки, то есть пла­гин Adobe Flash Player будет авто­мати­чес­ки уда­лен.

Вряд ли окон­чатель­ное уда­ление Flash Player будет замече­но поль­зовате­лями, ведь уже сей­час он фак­тичес­ки бес­полезен и не может исполь­зовать­ся для отоб­ражения кон­тента.

Уязвимость Qualcomm MSM

Бо­лее тре­ти всех смар­тфо­нов в мире ока­зались под­верже­ны новой уяз­вимос­ти в Mobile Station Modem (MSM) про­изводс­тва Qualcomm. Этот баг дает зло­умыш­ленни­кам дос­туп к исто­рии вызовов, SMS-сооб­щени­ям и даже поз­воля­ет под­слу­шивать раз­говоры.

MSM пред­став­ляет собой SoC, который поз­воля­ет устрой­ствам под­клю­чать­ся к мобиль­ным сетям. Он был раз­работан еще в 1990-х годах и с тех пор пос­тоян­но совер­шенс­тво­вал­ся, к при­меру добав­лялась под­дер­жка 2G, 3G, 4G и 5G. В ито­ге на сегод­няшний день MSM ста­ла одной из самых рас­простра­нен­ных тех­нологий в мире, осо­бен­но сре­ди про­изво­дите­лей смар­тфо­нов. В час­тнос­ти, чипы Qualcomm MSM исполь­зуют­ся в смар­тфо­нах Google, Samsung, LG, Xiaomi, One Plus и мно­гих дру­гих про­изво­дите­лей.

Эк­спер­ты ком­пании Check Point обна­ружи­ли уяз­вимость в Qualcomm MSM Interface (QMI) — про­токо­ле, который поз­воля­ет SoC обме­нивать­ся дан­ными с опе­раци­онной сис­темой смар­тфо­на. Эта проб­лема получи­ла иден­тифика­тор CVE-2020-11292.

По дан­ным спе­циалис­тов, модифи­циро­ван­ные пакеты Type-Length-Value (TLV), получен­ные MSM через интерфейс QMI, могут спро­воци­ровать ошиб­ку пов­режде­ния информа­ции в памяти (перепол­нение буфера), что в ито­ге поз­волит зло­умыш­ленни­кам выпол­нить собс­твен­ный код на устрой­стве.

«Зло­умыш­ленни­ки мог­ли исполь­зовать эту уяз­вимость для внед­рения вре­донос­ного кода, в ито­ге получая дос­туп к исто­рии вызовов и SMS-сооб­щени­ям на устрой­стве, а так­же воз­можность прос­лушивать раз­говоры поль­зовате­ля. Так­же хакеры мог­ли исполь­зовать уяз­вимость для раз­бло­киров­ки SIM-кар­ты устрой­ства, тем самым пре­одо­левая огра­ниче­ния, налага­емые пос­тавщи­ком услуг», — рас­ска­зыва­ют в Check Point.

От­чет спе­циалис­тов гла­сит, что экс­плу­ата­ция уяз­вимос­ти невоз­можна, если скры­вать иска­жен­ные пакеты TLV внут­ри сто­рон­них при­ложе­ний, работа­ющих в ОС (осо­бен­но на Android), ког­да ком­понент MSM защищен SELinux. Одна­ко отме­чает­ся, что пакет TLV может быть передан пос­редс­твом сотовой свя­зи или муль­тимедий­ного кон­тента, отправ­ленно­го на устрой­ство. При рас­паков­ке такой пакет может дос­тичь уяз­вимого интерфей­са QMI.

Хо­тя в нас­тоящее вре­мя око­ло 40% всех смар­тфо­нов в мире исполь­зуют чипы Qualcomm MSM, из них лишь око­ло 30% уяз­вимы для опи­сан­ных экспер­тами атак.

Пред­ста­вите­ли Check Point сооб­щили СМИ, что уве­доми­ли инже­неров Qualcomm о проб­леме еще в прош­лом году, и в декаб­ре 2020 года ком­пания выпус­тила патч для MSM, который был рас­простра­нен сре­ди про­изво­дите­лей смар­тфо­нов. Хотя Qualcomm заяв­ляет, что уве­доми­ла всех про­изво­дите­лей об ошиб­ке, иссле­дова­телям неиз­вес­тно, какие имен­но ком­пании уже про­пат­чили свои про­дук­ты, а какие нет.

ФБР: количество киберпреступлений растет

Эк­спер­ты Цен­тра при­ема жалоб на мошен­ничес­тво в интерне­те (IC3) при ФБР опуб­ликова­ли отчет о кибер­прес­тупле­ниях за пос­ледние 14 месяцев.

• В пери­од с мар­та 2020 года по май 2021 года наб­людал­ся рез­кий при­рост жалоб, количес­тво которых уве­личи­лось более чем на 1 000 000.

• IC3 начала регис­три­ровать жалобы на кибер­прес­тупле­ния еще в 2000 году, и экспер­там пот­ребова­лось 7 лет, что­бы дой­ти до отметки в 1 000 000 жалоб в год. И с тех пор на каж­дый допол­нитель­ный мил­лион жалоб в сред­нем ухо­дило 29,5 месяца.

• Ны­неш­ний рез­кий при­рост ФБР объ­ясня­ет тем, что люди ста­ли боль­ше работать уда­лен­но из‑за пан­демии COVID-19, а прес­тупни­ки не пре­мину­ли исполь­зовать это обсто­ятель­ство для темати­чес­ких атак.

• Тре­мя основны­ми типами прес­тупле­ний, зарегис­три­рован­ными в 2020 году, были фи­шинг, мо­шен­ничес­тво с пла­тежа­ми и дос­тавкой, а так­же вы­мога­тель­ство.

GitHub без эксплоитов

Раз­работ­чики GitHub решили обсу­дить с ИБ‑сооб­щес­твом серию изме­нений в полити­ках сай­та, которые опре­деля­ют, как имен­но ком­пания борет­ся с заг­ружен­ными на плат­форму мал­варью и экс­пло­ита­ми.

Пред­лага­емые изме­нения под­разуме­вают, что GitHub уста­новит более чет­кие пра­вила отно­ситель­но того, что дол­жно счи­тать­ся кодом, который исполь­зует­ся для иссле­дова­ния уяз­вимос­тей, а что счи­тает­ся кодом, которым зло­умыш­ленни­ки могут зло­упот­реблять для нас­тоящих атак. Проб­лема в том, что сей­час эта грань раз­мыта. Любой может заг­рузить на GitHub мал­варь или экс­пло­ит, соп­роводив помет­кой «для иссле­дова­ния безопас­ности», и сот­рудни­ки GitHub, ско­рее все­го, не тро­нут такой код.

Те­перь GitHub про­сит вла­дель­цев про­ектов чет­ко обоз­начать при­роду сво­его кода и ука­зывать, может ли тот исполь­зовать­ся для при­чине­ния вре­да дру­гим. Так­же сот­рудни­ки GitHub хотят иметь воз­можность вме­шивать­ся в ситу­ацию в опре­делен­ных слу­чаях, в час­тнос­ти огра­ничи­вать или уда­лять код, пред­назна­чен­ный для ИБ‑иссле­дова­ний, если извес­тно, что тот уже при­меня­ется для реаль­ных атак.

«Эти изме­нения… нап­равле­ны на устра­нение двус­мыслен­ности в таких тер­минах, как „экс­пло­ит“, „вре­донос­ное ПО“ и „дос­тавка“, что­бы обес­печить ясность наших ожи­даний и намере­ний», — пишет Майк Хэн­ли (Mike Hanley), дирек­тор по безопас­ности GitHub.

Про­исхо­дящее — пря­мое следс­твие скан­дала, беруще­го начало в мар­те текуще­го года. Напом­ню, что тог­да ком­пания Microsoft, которой при­над­лежит GitHub, сооб­щила о серии уяз­вимос­тей ProxyLogon, которые исполь­зовались хакер­ски­ми груп­пами для взло­ма сер­веров Exchange по все­му миру.

Про­изво­дитель ОС выпус­тил пат­чи, а неделю спус­тя вьет­нам­ский ИБ‑иссле­дова­тель отре­вер­сил эти исправ­ления и соз­дал на их осно­ве PoC-экс­пло­ит для ProxyLogon, который потом заг­рузил на GitHub. Через счи­таные часы пос­ле заг­рузки кода на GitHub коман­да безопас­ности Microsoft вме­шалась и уда­лила PoC экспер­та, что выз­вало вол­ну воз­мущения в отрасли и кри­тику в адрес Microsoft.

Хо­тя тог­да Microsoft прос­то стре­милась защитить от атак вла­дель­цев сер­веров Exchange, а GitHub в ито­ге поз­волила иссле­дова­телю и дру­гим лицам пов­торно заг­рузить код экс­пло­ита на сайт, теперь в GitHub все же хотят устра­нить все двус­мыслен­ности в полити­ках сво­ей плат­формы, что­бы подоб­ное боль­ше не пов­торялось.

По­ка неяс­но, пла­ниру­ет ли GitHub прис­лушивать­ся к получен­ному от людей фид­бэку, или ком­пания в любом слу­чае одоб­рит пред­ложен­ные изме­нения, таким обра­зом получив воз­можность вме­шивать­ся в ситу­ацию, если соч­тет, что кон­крет­ный код может исполь­зовать­ся для атак.

Пред­ложение ком­пании уже выз­вало жар­кие дебаты в сети, и мне­ния раз­делились. Некото­рые поль­зовате­ли сог­ласны с пред­лага­емы­ми изме­нени­ями, тог­да как дру­гих устра­ивает текущее положе­ние вещей: ког­да люди могут сооб­щать о вре­донос­ном коде на GitHub, что­бы его уда­лили, но при этом сама плат­форма не тро­гает PoC-экс­пло­иты, даже если ими уже зло­упот­ребля­ют. Дело в том, что экс­пло­иты час­то репос­тят на дру­гих плат­формах, поэто­му уда­ление PoC имен­но с GitHub вов­се не озна­чает, что зло­умыш­ленни­ки не смо­гут ими вос­поль­зовать­ся.

Павел Дуров: «Владение iPhone делает вас цифровым рабом Apple»

Па­вел Дуров про­дол­жает выс­тупать с кри­тикой в адрес ком­пании Apple. На этот раз он опуб­ликовал сооб­щение в сво­ем Telegram-канале, написан­ное пос­ле выхода статьи The New York Times, в которой сооб­щалось, что Apple учас­тву­ет в круп­номас­штаб­ной кам­пании по слеж­ке и цен­зуре в Китае.

«Это печаль­но, но не уди­витель­но: круп­ные тех­нологи­чес­кие ком­пании час­то пред­почита­ют при­быль сво­бодам. Apple очень эффектив­но реали­зует свою биз­нес‑модель, осно­ван­ную на про­даже уста­рев­шего обо­рудо­вания по завышен­ной цене кли­ентам, запер­тым в их эко­сис­теме.

Каж­дый раз, ког­да мне при­ходит­ся исполь­зовать iPhone для тес­тирова­ния нашего при­ложе­ния для iOS, я чувс­твую, что попадаю в сред­невековье. Дис­плеи iPhone 60 Гц не могут кон­куриро­вать с дис­пле­ями 120 Гц сов­ремен­ных телефо­нов на Android, которые под­держи­вают более плав­ную ани­мацию.

Од­нако худ­шая часть тех­нологий Apple — это не более гро­моз­дкие устрой­ства или уста­рев­шее обо­рудо­вание. Вла­дение iPhone дела­ет вас циф­ровым рабом Apple: вам раз­решено исполь­зовать лишь те при­ложе­ния, которые Apple поз­воля­ет уста­нав­ливать через их App Store, и вы можете исполь­зовать толь­ко iCloud от Apple, что­бы прос­то сде­лать резер­вную копию сво­их дан­ных.

Не­уди­витель­но, что тотали­тар­ный под­ход Apple так ценит­ся Ком­мунис­тичес­кой пар­тией Китая, которая, бла­года­ря Apple, име­ет пол­ный кон­троль над при­ложе­ниями и дан­ными всех сво­их граж­дан, которые полага­ются на iPhone»

— Павел Дуров в сво­ем Telegram-канале

Frag Attacks

Из­вес­тный ИБ‑эксперт Мэти Ван­хоф (Mathy Vanhoef) сооб­щил об обна­руже­нии целого набора уяз­вимос­тей Frag Attacks (Fragmentation and aggregation attacks), перед которы­ми уяз­вимы все устрой­ства с под­дер­жкой Wi-Fi (компь­юте­ры, смар­тфо­ны и умные девай­сы), выпущен­ные пос­ле 1997 года.

На­пом­ню, что ранее имен­но Ван­хоф обна­ружил такие опас­ные уяз­вимос­ти, как KRACK и Dragonblood, что поз­волило зна­читель­но улуч­шить безопас­ность стан­дарта Wi-Fi.

Проб­лемы Frag Attacks поз­воля­ют зло­умыш­ленни­ку, находя­щему­ся в ради­усе дей­ствия Wi-Fi, собирать информа­цию о вла­дель­це устрой­ства и выпол­нять вре­донос­ный код. Хуже того, уяз­вимос­ти акту­аль­ны даже в том слу­чае, если активна защита WEP и WPA. Ван­хоф пишет, что три уяз­вимос­ти — это недос­татки дизай­на стан­дарта Wi-Fi 802.11, которые свя­заны с фун­кци­ями агре­гиро­вания и фраг­мента­ции фрей­мов, а дру­гие баги — это проб­лемы прог­рамми­рова­ния в раз­личных Wi-Fi-про­дук­тах.

«Экспе­римен­ты показы­вают, что каж­дый про­дукт Wi-Fi уяз­вим по мень­шей мере перед одной проб­лемой, а боль­шинс­тво про­дук­тов уяз­вимы сра­зу перед нес­коль­кими, — заяв­ляет эксперт. — Обна­ружен­ные уяз­вимос­ти зат­рагива­ют все сов­ремен­ные про­токо­лы безопас­ности Wi-Fi, вклю­чая пос­леднюю спе­цифи­кацию WPA3. Зат­ронут даже ори­гиналь­ный про­токол безопас­ности Wi-Fi, WEP. Это озна­чает, что некото­рые из обна­ружен­ных недос­татков были частью Wi-Fi с момен­та его появ­ления в 1997 году!»

Как было в слу­чае с KRACK и Dragonblood, Ван­хоф сра­зу сооб­щил о сво­их выводах инже­нерам WiFi Alliance. В течение пос­ледних девяти месяцев Ван­хоф и спе­циалис­ты WiFi Alliance сов­мес­тно работа­ли над исправ­лени­ем стан­дартов Wi-Fi и сот­рудни­чали с пос­тавщи­ками устрой­ств, что­бы ско­рее выпус­тить пат­чи. Спи­сок про­изво­дите­лей и раз­работ­чиков, уже под­готовив­ших заяв­ления и бюл­летени безопас­ности, мож­но най­ти здесь.

Впро­чем, есть и хорошая новость: Ван­хоф обна­ружил, что боль­шинс­твом уяз­вимос­тей Frag Attacks труд­но вос­поль­зовать­ся, так как это пот­ребу­ет вза­имо­дей­ствия с поль­зовате­лем или же ата­ка воз­можна толь­ко при исполь­зовании весь­ма нес­тандар­тных сетевых нас­тро­ек.

На сво­ем сай­те Ван­хоф пе­речис­ляет ряд защит­ных мер, которые сто­ит пред­при­нимать поль­зовате­лям. Самая прос­тая защита — обес­печение дос­тупа к сай­там толь­ко через HTTPS, что бло­киру­ет ата­ки.

Атака малвари XcodeGhost

В рам­ках анти­моно­поль­ного судеб­ного раз­биратель­ства меж­ду ком­пани­ями Epic Games и Apple были обна­родо­ваны докумен­ты, сог­ласно которым мал­варь XcodeGhost, обна­ружен­ная в 2015 году, сум­марно ата­кова­ла более 128 мил­лионов поль­зовате­лей iOS. Напом­ню, что в прош­лом году про­изво­дитель игр подал иск про­тив Apple, так как пос­ледняя уда­лила игру Fortnite из App Store яко­бы из‑за наруше­ния усло­вий догово­ра.

Ин­форма­ция о XcodeGhost содер­жалась в элек­трон­ных пись­мах, которые теперь ста­ли дос­тоянием общес­твен­ности. В них сот­рудни­ки Apple обсужда­ют инци­дент с XcodeGhost и воз­можные шаги, которые ком­пания дол­жна пред­при­нять.

Мал­варь XcodeGhost впер­вые была замече­на в 2015 году, ког­да обна­ружи­лось, что хакеры под­делали инс­тру­мент для раз­работ­чиков Xcode, выпус­тив собс­твен­ную вер­сию, получив­шую имя XcodeGhost. В резуль­тате все при­ложе­ния, соз­данные с помощью этой вер­сии, ока­зались небезо­пас­ны для поль­зовате­лей. Как вско­ре выяс­нилось, таких при­ложе­ний нас­читыва­лось бо­лее 4000.

Тог­да Apple уда­лила вре­донос­ные при­ложе­ния из App Store и опуб­ликова­ла для раз­работ­чиков инс­трук­ции, которые те мог­ли исполь­зовать для опре­деле­ния легитим­ности сво­ей вер­сии Xcode.

Те­перь выяс­нилось, что, ког­да Apple выяви­ла более 2500 вре­донос­ных при­ложе­ний, они были заг­ружены из App Store более 203 мил­лионов раз. По под­сче­там спе­циалис­тов ком­пании, от них пос­тра­дали при­мер­но 128 мил­лионов поль­зовате­лей по все­му миру. Боль­ше полови­ны пос­тра­дав­ших находи­лись в Китае, но так­же Apple выяви­ла 18 мил­лионов пос­тра­дав­ших в США.

В обна­родо­ван­ной перепис­ке сот­рудни­ки ком­пании обсужда­ют, сле­дует ли нап­рямую уве­дом­лять все 128 мил­лионов человек о проб­леме, и, похоже, в ито­ге в Apple при­няли решение это­го не делать. Пред­ста­вите­ли Apple сооб­щили изда­нию SecurityWeek, что пос­тоян­но информи­руют сво­их поль­зовате­лей о проб­леме и пре­дос­тавля­ют им всю необ­ходимую информа­цию, одна­ко в ком­пании не уточ­нили, уве­дом­ляли ли пос­тра­дав­ших об ата­ках XcodeGhost нап­рямую.

90 000 000 долларов на вымогательстве

• Ана­лити­ки ком­пании Elliptic, занима­ющей­ся блок­чейн‑ана­лизом, под­счи­тали, что опе­рато­ры вымога­теля DarkSide, который был акти­вен с прош­лого года, успе­ли «зарабо­тать» на выкупах око­ло 90 000 000 дол­ларов. Выкупы были перечис­лены прес­тупни­кам с 47 раз­личных кошель­ков.

• Груп­па ата­кова­ла не менее 99 ком­паний, из которых при­мер­но 47% зап­латили выкуп. Сред­ний пла­теж сос­тавлял 1 900 000 дол­ларов.

• DarkSide работал по модели вымога­тель как услу­га (RaaS), а зна­чит, раз­работ­чики шиф­роваль­щика оставля­ли себе око­ло 25% вып­лачен­ных выкупов или 10%, если выкуп пре­вышал 5 000 000 дол­ларов.

• Фак­тичес­ки хакеры «зарабо­тали» око­ло 15 000 000 дол­ларов, а осталь­ные средс­тва оста­лись в руках «пар­тне­ров» груп­пы, которые арен­довали мал­варь, а затем раз­ворачи­вали ее в сетях взло­ман­ных ком­паний.

Cloudflare против CAPTCHA

В бло­ге ком­пании Cloudflare появи­лась любопыт­ная запись, авто­ром которой выс­тупил инже­нер ком­пании Тибо Менье (Thibault Meunier). Спе­циалист приз­нает­ся, что все в ком­пании ненави­дят CAPTCHA, и он под­счи­тал, что рядовой интернет‑поль­зователь видит CAPTCHA при­мер­но один раз в десять дней, и умно­жил это на 4,6 мил­лиар­да поль­зовате­лей в мире. Так как в сред­нем на решение одной CAPTCHA ухо­дит 32 секун­ды, в ито­ге поль­зовате­ли сум­марно тра­тят на это бес­полез­ное, по мне­нию Менье, занятие око­ло 500 лет ежед­невно.

«Сегод­ня мы запус­каем экспе­римент, что­бы покон­чить с этим безуми­ем. Мы хотим пол­ностью изба­вить­ся от CAPTCHA. Идея доволь­но прос­та: нас­тоящий человек дол­жен иметь воз­можность прос­то при­кос­нуть­ся к сво­ему устрой­ству или пос­мотреть на него, что­бы доказать, что он человек, не рас­кры­вая при этом сво­ей лич­ности. <…> Сегод­няшний день зна­мену­ет начало кон­ца для пожар­ных гид­рантов, пешеход­ных перехо­дов и све­тофо­ров в интерне­те», — пишет Менье.

Как мож­но понять из при­веден­ной выше цитаты, в Cloudflare хотят исполь­зовать для иден­тифика­ции людей раз­личные клю­чи безопас­ности. Начало это­му экспе­римен­ту положат USB-клю­чи (YubiKey, HyperFIDO и Thetis FIDO U2F), одна­ко в пос­те отме­чает­ся, что в наше вре­мя смар­тфо­ны и компь­юте­ры все чаще осна­щают­ся подоб­ными воз­можнос­тями по умол­чанию и со вре­менем экспе­римент может быть рас­ширен.

Вот как Менье опи­сыва­ет крип­тогра­фичес­кую аттеста­цию лич­ности, осно­ван­ную на Web Authentication (WebAuthn) Attestation AP. Эту тех­нологию под­держи­вают любые бра­узе­ры в Ubuntu, macOS, Windows и iOS 14.5, а так­же Chrome на Android v.10 и выше.

• Поль­зователь получа­ет дос­туп к сай­ту, защищен­ному крип­тогра­фичес­кой аттеста­цией лич­ности, нап­ример cloudflarechallenge.com.
• Сер­вер Cloudflare под­верга­ет сом­нению, [что это не робот].
• Поль­зователь нажима­ет «Я человек» (бета) и получа­ет зап­рос на исполь­зование устрой­ства безопас­ности.
• Поль­зователь реша­ет исполь­зовать аппа­рат­ный ключ безопас­ности.
• Поль­зователь под­клю­чает устрой­ство к сво­ему компь­юте­ру или прик­ладыва­ет его к смар­тфо­ну (исполь­зует NFC).
• Крип­тогра­фичес­кое под­твержде­ние отправ­ляет­ся в Cloudflare, что поз­воля­ет поль­зовате­лю прой­ти верифи­кацию.

В ито­ге ожи­дает­ся, что вся про­цеду­ра зай­мет око­ло пяти секунд вре­мени и три кли­ка мышью. При этом кон­фиден­циаль­ность поль­зовате­лей будет соб­людена. Дело в том, что такая аттеста­ция лич­ности не свя­зана с кон­крет­ным поль­зователь­ским устрой­ством. Все про­изво­дите­ли устрой­ств, которым доверя­ет Cloudflare, — это учас­тни­ки FIDO Alliance, то есть любой аппа­рат­ный ключ име­ет общий иден­тифика­тор с дру­гими клю­чами той же пар­тии, и, с точ­ки зре­ния Cloudflare, любой ключ выг­лядит так же, как и все осталь­ные клю­чи в пар­тии.

По­ка Cloudflare намере­на исполь­зовать крип­тогра­фичес­кую аттеста­цию лич­ности сре­ди неболь­шого чис­ла поль­зовате­лей в англо­языч­ных реги­онах, что­бы в целом про­верить осу­щес­тви­мость сво­ей идеи.

Windows 7 все еще здесь

Ана­лити­ки «Лабора­тории Кас­пер­ско­го» под­счи­тали, что на 36% компь­юте­ров в Рос­сии все еще уста­нов­лена опе­раци­онная сис­тема Windows 7, под­дер­жка которой была прек­ращена в янва­ре 2020 года. Доля тех, кто исполь­зует Windows 7, сре­ди домаш­них поль­зовате­лей сос­тавля­ет 37%, сре­ди ком­паний малого и сред­него биз­неса — 34%, а мик­робиз­неса — 35%.

«Мно­гие поль­зовате­ли не спе­шат уста­нав­ливать обновле­ния на опе­раци­онную сис­тему, опа­саясь воз­можных изме­нений в интерфей­се и фун­кци­ональ­нос­ти или прос­то не желая тра­тить на это цен­ное рабочее вре­мя. При этом имен­но обновле­ния поз­воля­ют испра­вить порож­дающие уяз­вимос­ти ошиб­ки, с помощью экс­плу­ата­ции которых в сис­тему могут про­ник­нуть зло­умыш­ленни­ки. Обновлять­ся нуж­но сво­евре­мен­но, ни в коем слу­чае не откла­дывая в дол­гий ящик уста­нов­ку как минимум кри­тичес­ких апдей­тов.

Нуж­но понимать, что, как толь­ко информа­ция об уяз­вимос­ти ста­новит­ся извес­тна широкой пуб­лике, мно­жес­тво зло­умыш­ленни­ков начита­ют активно исполь­зовать ее для атак, рас­счи­тывая как раз на тех, кто по каким‑то при­чинам не смог вов­ремя обно­вить­ся. А если вам извес­тно, что ОС ско­ро будет сня­та с под­дер­жки, необ­ходимо зап­ланиро­вать дей­ствия по ее замене заб­лагов­ремен­но, вклю­чая замену железа, если дру­гого выхода нет. Исполь­зовать в работе не получа­ющие обновле­ния сис­темы — все рав­но что оставлять дом с незапер­той дверью: рано или поз­дно в нее зай­дет кто‑то, кому вы не будете рады»

— Олег Горобец, эксперт «Лабора­тории Кас­пер­ско­го»

Nvidia против майнеров

Ком­пания Nvidia объ­яви­ла, что вдвое понизит хеш­рейт для май­нин­га крип­товалю­ты Ethereum на новых виде­окар­тах GeForce RTX 3080, 3070 и 3060 Ti, что­бы умень­шить их прив­лекатель­ность для май­неров.

Ком­пания обе­щает снаб­дить эти вер­сии виде­окарт, отгруз­ка которых нач­нется в кон­це мая, спе­циаль­ной мар­киров­кой Lite Hash Rate или LHR, которую мож­но будет уви­деть на короб­ке и в опи­сании. На выпущен­ные ранее кар­ты эти огра­ниче­ния рас­простра­нять­ся не будут.

По сло­вам Мэт­та Вуб­блин­га, гла­вы Nvidia по мар­кетин­гу GeForce, таким обра­зом ком­пания хочет гаран­тировать, что виде­окар­ты будут исполь­зовать­ся гей­мерами по все­му миру, а не осе­дать на май­нин­говых фер­мах.

На­пом­ню, что в фев­рале 2021 года кар­там GeForce RTX 3060 тоже при­нуди­тель­но ухуд­шили май­нин­говую про­изво­дитель­ность. Тог­да хеш­рейт для добычи Ethereum так­же был занижен в два раза и ком­пания анон­сирова­ла спе­циаль­ную линей­ку карт для май­нин­га — NVIDIA CMP (Cryptocurrency Mining Processor). У таких карт не будет виде­овы­ходов, а так­же они получат более низ­кое пиковое нап­ряжение ядра и час­тоту, что повысит их энер­гоэф­фектив­ность для добычи крип­товалю­ты.

По дан­ным пор­тала 3D Center, который опи­рает­ся на ста­тис­тику про­даж в роз­ничных магази­нах Гер­мании и Авс­трии, сей­час в Евро­пе роз­ничные цены на виде­окар­ты 30-й серии пре­выша­ют рекомен­дован­ные в три раза. Похожая ситу­ация наб­люда­ется и с GPU ком­пании AMD, цены на которые завыше­ны в сред­нем в два раза.

Вредоносный Tor

На про­тяже­нии пос­ледних 16 месяцев неиз­вес­тные зло­умыш­ленни­ки внед­ряют вре­донос­ные сер­веры в сеть Tor, а затем с их помощью перех­ватыва­ют свя­зан­ный с крип­товалю­той тра­фик и выпол­няют ата­ки типа SSL stripping.

Эта кам­пания началась еще в янва­ре 2020 года, и ее суть зак­лючалась в добав­лении в сеть Tor сер­веров, которые помеча­лись как выход­ные узлы (то есть сер­веры, через которые тра­фик покида­ет сеть Tor и пов­торно попада­ет в обще­дос­тупный интернет). С тех пор зло­умыш­ленни­ки внед­рили в сеть Tor тысячи вре­донос­ных сер­веров и с их помощью иден­тифици­рова­ли тра­фик, нап­равля­емый на сай­ты крип­товалют­ных мик­серов, а затем устра­ива­ли ата­ки типа SSL stripping, то есть осу­щест­вля­ли даун­грейд тра­фика поль­зовате­лей с HTTPS до менее безопас­ного HTTP. Пос­ле даун­грей­да прес­тупни­ки получа­ли воз­можность заменять адре­са крип­товалют­ных кошель­ков сво­ими собс­твен­ными и перех­ватывать тран­закции.

Впер­вые подоб­ные ата­ки бы­ли задоку­мен­тирова­ны в августе прош­лого года ИБ‑спе­циалис­том и опе­рато­ром сер­вера Tor, извес­тным под псев­донимом Nusenu. Тог­да он сооб­щал, что в луч­шие дни ата­кующим уда­валось кон­тро­лиро­вать 23,95% всех выход­ных узлов Tor.

Те­перь Nusenu опуб­ликовал новое иссле­дова­ние, в котором пишет, что, хотя про­исхо­дящее дав­но пре­дали огласке, зло­умыш­ленни­ки все рав­но про­дол­жают свои ата­ки. Хуже того, ата­ки лишь уси­лились: в фев­рале 2021 года прес­тупни­ки даже побили собс­твен­ный «рекорд» и отве­чали за 27% всех выход­ных узлов Tor.

Хо­тя в ито­ге вто­рая вол­на атак была обна­руже­на, а вре­донос­ные сер­веры уда­лены из сети Tor, до это­го инфраструк­тура зло­умыш­ленни­ков работа­ла и перех­ватыва­ла тра­фик поль­зовате­лей на про­тяже­нии дол­гих недель или даже месяцев. Дело в том, что хакеры внед­ряли свои сер­веры в сеть неболь­шими пор­циями, накап­ливая мощ­ную инфраструк­туру и не прив­лекая к себе вни­мания.

Этой так­тике хакеры изме­нили лишь в текущем месяце: ког­да их инфраструк­тура сно­ва была отклю­чена, они попыта­лись вос­ста­новить все сер­веры одновре­мен­но. Эта ата­ка была обна­руже­на в течение суток, ведь одно­момен­тное уве­личе­ние количес­тва выход­ных узлов с 1500 до 2500 не мог­ли не заметить.

Хо­тя теперь более 1000 сер­веров отклю­чены, эксперт пишет, что по сос­тоянию на 5 мая 2021 года зло­умыш­ленни­ки все еще кон­тро­лиру­ют от 4 до 6% выход­ных узлов Tor, а ата­ки с исполь­зовани­ем SSL stripping про­дол­жают­ся.

Миллиарды Hydra

Ком­пании Flashpoint и Chainalysis под­готови­ли сов­мес­тный отчет, пос­вящен­ный работе под­поль­ного мар­кет­плей­са Hydra. В 2015 году, сра­зу пос­ле запус­ка, Hydra была извес­тна как пло­щад­ка по про­даже нар­котиков, но со вре­менем ресурс рас­ширил­ся, и там дав­но тор­гуют самыми раз­ными нелегаль­ными товара­ми и услу­гами, вклю­чая дан­ные ворован­ных карт, под­дель­ные докумен­ты, фаль­шивые день­ги, хакер­ские услу­ги и мно­гое дру­гое.

• За пос­ледние три года Hydra рос­ла при­мер­но на 624% за год, что сде­лало ее одной из популяр­ней­ших кри­миналь­ных тор­говых пло­щадок наших дней.

• Объ­емы тран­закций мар­кет­плей­са тоже рас­тут: если в 2016 году обо­рот пло­щад­ки сос­тавлял око­ло 9 400 000 дол­ларов в год, то теперь он дос­тиг отметки в 1 370 000 000 дол­ларов за год.

• Ус­пех Hydra иссле­дова­тели объ­ясня­ют рядом фак­торов. Один из них — стро­гие пра­вила ресур­са. К при­меру, с лета 2018 года про­давец дол­жен совер­шить не менее 50 успешных сде­лок, преж­де чем ему будет раз­решено снять средс­тва. Так­же необ­ходимо иметь кошелек, содер­жащий не менее 10 000 дол­ларов США.

• Тран­закции Hydra в основном обра­баты­вают так называ­емые «высоко­рис­ковые» ресур­сы, игно­риру­ющие Know Your Customer (KYC). Боль­шинс­тво из них находит­ся в Рос­сии, и лишь неболь­шой про­цент тран­закций мар­кет­плей­са про­ходит через крип­товалют­ные плат­формы, свя­зан­ные с закон­ной тор­говлей.

• В общей слож­ности было зарегис­три­рова­но более 1000 уни­каль­ных депозит­ных адре­сов и тран­закции на сум­му более 7 000 000 дол­ларов, которые пред­положи­тель­но свя­заны с Hydra.

Полезный Find My

Раз­работ­чики ком­пании Positive Security прис­пособи­ли для переда­чи дан­ных сер­вис Find My («Локатор») ком­пании Apple, который обыч­но исполь­зует­ся для поис­ка гад­жетов, лич­ных вещей и переда­чи дан­ных о мес­тополо­жении.

На­пом­ню, что в 2019 году при­ложе­ния «Най­ти дру­зей» и «Най­ти iPhone» (Find my Friends и Find My iPhone) были объ­еди­нены в сер­вис Find My. Он пред­став­ляет собой кра­удсорсин­говую сис­тему отсле­жива­ния мес­тополо­жения, поз­воляя лег­ко находить потерян­ные и укра­ден­ные устрой­ства, а так­же в одном мес­те отсле­живать любые гад­жеты Apple, лич­ные вещи с бре­лока­ми AirTag, а так­же мес­тополо­жение род­ных и дру­зей.

Find My работа­ет пос­редс­твом Bluetooth Low Energy (BLE), то есть фун­кци­они­рует, даже если устрой­ство не под­клю­чено к интерне­ту, а сотовая связь отсутс­тву­ет. Для это­го устрой­ства Apple вре­мя от вре­мени тран­сли­руют вов­не спе­циаль­ный Bluetooth-сиг­нал, который могут обна­ружи­вать и рас­позна­вать дру­гие девай­сы Apple, ока­зав­шиеся поб­лизос­ти. Такие сиг­налы пода­ются даже в спя­щем режиме, а затем рет­ран­сли­руют­ся дру­гими поль­зовате­лями на сер­веры Apple.

В мар­те текуще­го года экспер­ты Дарм­штад­ско­го тех­ничес­кого уни­вер­ситета в Гер­мании опуб­ликова­ли иссле­дова­тель­скую работу, которая про­лива­ла свет на раз­личные уяз­вимос­ти и недос­татки Apple Find My. Имен­но на этот документ опи­рались спе­циалис­ты Positive Security, которые сумели раз­вить идею зло­упот­ребле­ния сер­висом гораз­до даль­ше. В ито­ге они соз­дали ата­ку под наз­вани­ем Send My, которая экс­плу­ати­рует тех­нологию Find My для переда­чи про­изволь­ных дан­ных.

Со­учре­дитель Positive Security Фаби­ан Брой­нлайн (Fabian Bräunlein) рас­ска­зыва­ет, что, хотя соеди­нение меж­ду бре­локом AirTag и устрой­ством Apple всег­да защище­но с помощью пары клю­чей Elliptic Curve, устрой­ство вла­дель­ца не зна­ет, какой имен­но ключ исполь­зует­ся AirTag. Для это­го генери­рует­ся целый спи­сок клю­чей, которые недав­но исполь­зовались AirTag, а так­же у служ­бы Apple зап­рашива­ются их хеши SHA-256.

«Apple не зна­ет, какие откры­тые клю­чи при­над­лежат вашему AirTag и, сле­дова­тель­но, какие отче­ты о мес­тополо­жении пред­назна­чены для вас», — пишет эксперт.

По идее, упо­мяну­тые отче­ты о мес­тополо­жении могут быть рас­шифро­ваны толь­ко с помощью кор­рек­тно­го при­ват­ного клю­ча, одна­ко иссле­дова­тели обна­ружи­ли, что они могут про­верить, сущес­тву­ют ли отче­ты для опре­делен­ного хеша SHA-256 в прин­ципе, и даже добавить отче­ты для опре­делен­ного хеша SHA-256.

«Мы можем внед­рить про­изволь­ный набор битов в откры­тый ключ в хра­нили­ще, а затем сно­ва осу­щес­твить зап­рос. Если отпра­витель и получа­тель сог­ласовы­вают схе­му кодиро­вания, мы получа­ем воз­можность переда­вать про­изволь­ные дан­ные».

Для сво­их опы­тов и пред­став­ленно­го proof-of-concept спе­циалис­ты исполь­зовали мик­рокон­трол­лер ESP32, про­шив­ку на осно­ве опен­сор­сно­го инс­тру­мен­та OpenHaystack (соз­данно­го уче­ными Дарм­штад­ско­го тех­ничес­кого уни­вер­ситета в рам­ках сво­ей иссле­дова­тель­ской работы), а так­же macOS-при­ложе­ние, пред­назна­чен­ное для извле­чения, декоди­рова­ния и отоб­ражения передан­ных дан­ных.

Для получе­ния дан­ных с устрой­ства macOS нуж­но исполь­зовать пла­гин Apple Mail, который работа­ет с повышен­ными при­виле­гиями (что­бы соб­люсти тре­бова­ния Apple к аутен­тифика­ции для дос­тупа к дан­ным о мес­тополо­жении). Кро­ме того, поль­зователь дол­жен уста­новить OpenHaystack и запус­тить при­ложе­ние DataFetcher для macOS, соз­данное Брой­нлай­ном для прос­мотра таких несан­кци­они­рован­ных передач.

Та­кой метод переда­чи информа­ции отлично под­ходит для заг­рузки показа­ний сен­соров и дру­гих дан­ных с IoT-устрой­ств, для извле­чения дан­ных из зак­рытых и изо­лиро­ван­ных от интерне­та сис­тем, а так­же может уда­рить по кошель­ку бли­жай­шего поль­зовате­ля iPhone из‑за боль­шого количес­тва передан­ных дан­ных и мно­жес­тва уни­каль­ных откры­тых клю­чей. Дело в том, что переда­ча боль­шого количес­тва уни­каль­ных откры­тых клю­чей зна­читель­но уве­личи­вает объ­емы мобиль­ного тра­фика, так как раз­меры отче­тов пре­выша­ют 100 байт.

При этом ата­ку Send My, конеч­но, вряд ли мож­но наз­вать высокос­корос­тной. Так, ско­рость отправ­ки дан­ных в сред­нем сос­тавля­ет при­мер­но 3 бай­та в секун­ду, хотя мож­но дос­тичь и более высоких ско­рос­тей. Так­же переда­ча дан­ных про­исхо­дит с задер­жкой от 1 до 60 минут, в зависи­мос­ти от количес­тва находя­щих­ся поб­лизос­ти устрой­ств Apple.

Тем не менее Брой­нлайн счи­тает, что с помощью ата­ки Send My, по сути, мож­но соз­дать ана­лог Amazon Sidewalk (IoT-сети Amazon) на базе сетевой инфраструк­туры Apple. По его мне­нию, в целом эту угро­зу нель­зя наз­вать новой, учи­тывая сущес­тво­вание гло­баль­ных мобиль­ных и спут­никовых сетей, которые мож­но исполь­зовать для переда­чи дан­ных. Одна­ко Send My может быть осо­бен­но полез­на для извле­чения дан­ных из зак­рытых сис­тем и сетей.

Для защиты от подоб­ных атак экспер­ты рекомен­дуют Apple реали­зовать аутен­тифика­цию BLE advertising’а (в нас­тоящее вре­мя нет раз­ницы меж­ду реаль­ными и спу­фин­говыми AirTags), а так­же огра­ничить час­тоту получе­ния отче­тов о мес­тополо­жении.

Google против РКН

Из­дание «Ком­мерсант» сооб­щило, что еще 23 апре­ля 2021 года аме­рикан­ская Google LLC подала иск в Арбитраж­ный суд Мос­квы к Рос­комнад­зору, оспа­ривая тре­бова­ния по уда­лению 12 ссы­лок с «про­тивоп­равным кон­тентом». Речь идет о ссыл­ках на 12 роликов на YouTube, которые, по мне­нию Рос­комнад­зора, содер­жат при­зывы учас­тво­вать в митин­гах в янва­ре 2021 года. 11 мая Арбитраж­ный суд Мос­квы при­нял иск к про­изводс­тву.

Ра­нее Google LLC ни разу не ини­цииро­вала судеб­ных раз­биратель­ств по оспа­рива­нию ненор­матив­ных актов Рос­комнад­зора в Рос­сии, выс­тупая лишь в качес­тве ответчи­ка или треть­его лица.

«Рос­комнад­зор на осно­вании тре­бова­ний Ген­про­кура­туры нап­равил в адрес адми­нис­тра­ции Google уве­дом­ление об огра­ниче­нии дос­тупа к матери­алам с при­зыва­ми, в том чис­ле к несовер­шенно­лет­ним, учас­тво­вать в несан­кци­они­рован­ных митин­гах в янва­ре 2021 года», — говорят пред­ста­вите­ли ведомс­тва.

Сог­ласно опре­деле­нию Арбитраж­ного суда Мос­квы от 27 апре­ля, речь в спо­ре идет о приз­нании незакон­ными дей­ствий по огра­ниче­нию дос­тупа к информа­цион­ному ресур­су, объ­ясня­ет управля­ющий пар­тнер Hogan Lovells CIS Наталья Гуля­ева. «Google оспа­рива­ет дей­ствия Рос­комнад­зора в имев­шей мес­то ранее адми­нис­тра­тив­ной про­цеду­ре», — пояс­няет она.

«Полагаю, что Google умыш­ленно подала иск от име­ни голов­ной ком­пании, а не от дочер­него ООО „Гугл“, пред­полагая про­игрыш в пер­вой и апел­ляци­онной инстан­циях в Рос­сии, в надеж­де оспа­ривать эти решения в дру­гих юрис­дикци­ях, нап­ример в Евро­пей­ском суде», — сооб­щил изда­нию адво­кат, управля­ющий пар­тнер AVG Legal Алек­сей Гав­ришев.

Од­новре­мен­но с этим ста­ло извес­тно, что Рос­комнад­зор пре­дуп­редил о воз­можном замед­лении работы сер­висов Google, так как поис­ковый гигант яко­бы вышел на пер­вое мес­то в Рос­сии по объ­ему зап­рещен­ного кон­тента.

«Пос­ле того как Twitter по тре­бова­нию Рос­комнад­зора уда­лил 91% зап­рещен­ной информа­ции, Google вышел на пер­вое мес­то по количес­тву неуда­лен­ного про­тивоп­равно­го кон­тента, нанося­щего пря­мой вред рос­сий­ским поль­зовате­лям. На сегод­няшний день на YouTube не уда­лено поряд­ка пяти тысяч зап­рещен­ных матери­алов. Боль­ше все­го — 3,5 тысячи — с при­зыва­ми к экс­тре­миз­му. Более 900 — матери­алов, приз­нанных зап­рещен­ными судом», — цитиру­ет пред­ста­вите­ля Рос­комнад­зора «Интерфакс».

Со­обща­ется, что сум­марно Рос­комнад­зор нап­равил в адрес адми­нис­тра­ции Google более 26 тысяч уве­дом­лений о необ­ходимос­ти уда­ления про­тивоп­равной информа­ции. Теперь регуля­тор под­черки­вает, что может замед­лить работу сер­висов Google на осно­вании объ­ема дос­тупно­го до сих пор зап­рещен­ного кон­тента, вклю­чая дет­скую пор­ногра­фию, сце­ны жес­токих убий­ств живот­ных, при­зывы к суици­ду, к учас­тию в незакон­ных акци­ях, матери­алы о нар­котиках, а так­же свя­зан­ные с тер­рорис­тичес­кими и экс­тре­мист­ски­ми орга­низа­циями.