Linux от Microsoft

Ком­пания Microsoft выложи­ла на GitHub пер­вую ста­биль­ную сбор­ку собс­твен­ного дис­три­бути­ва Linux, CBL-Mariner (Common Base Linux), который был опуб­ликован под опен­сор­сной лицен­зией MIT. Это внут­ренний дис­три­бутив, раз­работан­ный для облачной инфраструк­туры, edge-про­дук­тов и сер­висов Microsoft.

CBL-Mariner 1.0 пред­став­ляет собой набор базовых RPM-пакетов, которые ста­нут осно­вой будуще­го обра­за. В катало­ге Microsoft нас­читыва­ется более 3000 пакетов. Опи­сание дис­три­бути­ва гла­сит, что он соз­давал­ся с целью уни­фика­ции, как базовая плат­форма для раз­личных про­дук­тов и сер­висов. В час­тнос­ти, в ком­пании CBL-Mariner при­меня­ется в работе облачно­го сер­виса Azure.

За раз­работ­кой это­го дис­три­бути­ва сто­ит так­же коман­да Linux Systems Group, которая соз­дала Windows Subsystem for Linux version 2 и отве­чала за интегра­цию Linux в Windows.

Впер­вые о CBL-Mariner загово­рили еще осенью прош­лого года, а теперь один из инже­неров Microsoft и вов­се опуб­ликовал под­робное ру­ководс­тво по соз­данию ISO-обра­зов CBL-Mariner, а ком­пания выложи­ла дис­три­бутив на GitHub, не прив­лекая к это­му событию лиш­него вни­мания.

Иро­нич­но, что двад­цать лет назад, в 2001 году, Стив Бал­лмер называл Linux «раковой опу­холью» (впро­чем, спус­тя мно­го лет он отка­зал­ся от этих слов), а в наши дни Microsoft явля­ется одним из наибо­лее активных учас­тни­ков опен­сор­сных про­ектов в мире и вла­деет GitHub.

2ФА в Twitter

  • Ком­пания Twitter опуб­ликова­ла отчет о проз­рачнос­ти, из которо­го сле­дует, что вла­дель­цы толь­ко 2,3% активных учет­ных записей вклю­чили хотя бы один метод двух­фактор­ной аутен­тифика­ции (2ФА) в пери­од с июля по декабрь 2020 года.

  • От­чет гла­сит, что из всех 2,3% поль­зовате­лей, которые вклю­чили 2ФА в ука­зан­ный пери­од, 79,6% исполь­зовали SMS, 30,9% — при­ложе­ние для мно­гофак­торной аутен­тифика­ции и толь­ко 0,5% — аппа­рат­ный ключ безопас­ности. Хотя Twitter поз­воля­ет вклю­чать нес­коль­ко методов 2ФА одновре­мен­но.

  • Раз­работ­чики счи­тают, что такие низ­кие циф­ры демонс­три­руют пос­тоян­ную необ­ходимость поощ­рять более широкое внед­рение 2ФА, а так­же работать над упро­щени­ем таких про­цедур.

 

Случайные баны в Поднебесной

Груп­па уче­ных из Уни­вер­ситета Сто­уни‑Брук, Мас­сачусет­ско­го уни­вер­ситета, Калифор­ний­ско­го уни­вер­ситета в Бер­кли, а так­же Уни­вер­ситета Торон­то в Канаде попыта­лась опре­делить мас­шта­бы китай­ской интернет‑цен­зуры, изу­чив работу «велико­го китай­ско­го фай­рво­ла».

Ис­сле­дова­ние дли­лось более девяти месяцев, и спе­циаль­но для него экспер­ты соз­дали сис­тему под наз­вани­ем GFWatch, которая обра­щалась к доменам внут­ри и за пре­дела­ми китай­ско­го интернет‑прос­транс­тва, а затем про­веря­ла, как «великий китай­ский фай­рвол» реаги­рует на это и вме­шива­ется в соеди­нения на уров­не DNS (для пре­дот­вра­щения дос­тупа к домену со сто­роны китай­ских поль­зовате­лей или огра­ниче­ния дос­тупа к внут­ренним сай­там стра­ны).

С помощью GFWatch иссле­дова­тели про­вери­ли 534 мил­лиона раз­личных доменов, ежед­невно обра­щаясь при­мер­но к 411 мил­лионам доменов, что­бы фик­сировать, а затем переп­роверять, пос­тоян­ны ли обна­ружен­ные ими бло­киров­ки. В ито­ге было под­счи­тано, что в нас­тоящее вре­мя «великий китай­ский фай­рвол» бло­киру­ет око­ло 311 тысяч доменов, при­чем 270 тысяч бло­киро­вок работа­ют как нуж­но, а еще 41 тысяча доменов, похоже, ока­зались заб­локиро­ваны слу­чай­но.

Ошиб­ки воз­никли из‑за того, что китай­ские влас­ти пытались бло­киро­вать домены, исполь­зуя регуляр­ные выраже­ния для филь­тра­ции DNS, но они не учи­тыва­ли слу­чаи, ког­да корот­кий домен явля­ется частью более длин­ного домен­ного име­ни, и бло­киров­ки зат­ронули дру­гие сай­ты. Нап­ример, влас­ти стра­ны зап­ретили дос­туп к reddit.com, при этом слу­чай­но заб­локиро­вав booksreddit.com, geareddit.com и 1087 дру­гих сай­тов.

Ис­сле­дова­тель­ская груп­па сос­тавила спи­сок 311 тысяч заб­локиро­ван­ных доменов, что­бы опре­делить, какой тип кон­тента китай­ские влас­ти зап­реща­ют чаще все­го. Исполь­зуя сер­висы, подоб­ные FortiGuard, иссле­дова­тели выяс­нили, что око­ло 40% заб­локиро­ван­ных сай­тов — это недав­но зарегис­три­рован­ные домены, которые китай­ские влас­ти бло­киру­ют пре­вен­тивно, пока те не катего­ризи­рова­ли и не внес­ли свой кон­тент в белый спи­сок.

Что каса­ется про­чих «зап­рещен­ных» доменов, чаще все­го на них раз­меща­ется биз­нес‑кон­тент, пор­ногра­фия или информа­ция, свя­зан­ная с ИТ. Так­же под бло­киров­ки попада­ют сай­ты, на которых раз­мещены инс­тру­мен­ты, поз­воля­ющие обой­ти бло­киров­ки, игор­ные ресур­сы, лич­ные бло­ги, раз­вле­катель­ные пор­талы, новос­тные и меди­асай­ты, а так­же домены с вре­донос­ным и мошен­ничес­ким кон­тентом.

Так­же инте­рес­но, что пос­ле начала пан­демии корона­виру­са к бло­киров­кам добави­лось мно­го доменов, свя­зан­ных с COVID-19. В чис­ле «зак­рытых» были: covid19classaction.it, covid19song.info, covidcon.org, ccpcoronavirus.com, covidhaber.net и covid-19truth.info. Некото­рые из этих сай­тов содер­жат матери­алы, обви­няющие в пан­демии корона­виру­са Китай.

«Мы выяс­нили, что боль­шинс­тво доменов, заб­локиро­ван­ных „великим китай­ским фай­рво­лом“, непопу­ляр­ны и вооб­ще не попада­ют в спис­ки самых популяр­ных сай­тов», — рас­ска­зыва­ют иссле­дова­тели.

К при­меру, из выбор­ки в 138 700 доменов толь­ко 1,3% сай­тов (око­ло 1800) вхо­дят в чис­ло 100 тысяч самых популяр­ных сай­тов в интерне­те (по дан­ным рей­тин­га Tranco).

Кро­ме того, иссле­дова­тели заяви­ли, что выяви­ли слу­чаи, ког­да китай­ские DNS-бло­киров­ки, которые обыч­но под­разуме­вают изме­нение записей DNS, воз­вра­щаемых китай­ским поль­зовате­лям, слу­чай­но «пор­тили» записи DNS за пре­дела­ми китай­ско­го интернет‑прос­транс­тва, в сетях некото­рых DNS-про­вай­деров. Такие ошиб­ки зат­ронули не менее 77 тысяч сай­тов.

Сноуден критикует NSO Group

В июле СМИ и акти­вис­ты в оче­ред­ной раз обру­шились с обви­нени­ями на изра­иль­скую ком­панию NSO Group, раз­рабаты­вающую легаль­ную спай­варь. Они обна­ружи­ли мас­штаб­ные зло­упот­ребле­ния шпи­онским ПО, соз­данным NSO Group, — Pegasus. Яко­бы спай­варь ком­пании активно при­меня­ется для наруше­ния прав челове­ка и наб­людения за полити­ками, акти­вис­тами, жур­налис­тами и пра­воза­щит­никами по все­му миру.

О ситу­ации выс­казал­ся даже Эдвард Сно­уден, в беседе с жур­налис­тами изда­ния The Guardian. По его сло­вам, ком­мерчес­кий шпи­онский софт «раз­вязыва­ет» руки влас­тям мно­гих стран.

«Если не пытать­ся оста­новить про­дажу таких тех­нологий, речь будет идти уже не о 50 тысячах целей. Будет 50 мил­лионов целей, и это слу­чит­ся гораз­до быс­трее, чем любой из нас может пред­положить.

Ког­да мы говорим о чем‑то вро­де iPhone, все такие устрой­ства в мире исполь­зуют одно и то же ПО. Так что, если они най­дут спо­соб взло­мать один iPhone, они най­дут спо­соб взло­мать их все.

Есть опре­делен­ные отрасли, опре­делен­ные сек­тора, от которых нет защиты, и поэто­му мы ста­раем­ся огра­ничить рас­простра­нение таких тех­нологий. [К при­меру,] мы не допус­каем появ­ления ком­мерчес­кого рын­ка ядер­ного ору­жия»

— заявил Эдвард Сно­уден

 

База данных о выкупах

Про­ект Ransomwhere, соз­данный сту­ден­том Стэн­форд­ско­го уни­вер­ситета и ИБ‑иссле­дова­телем из Krebs Stamos Group Дже­ком Кей­блом, — это бес­плат­ная и откры­тая база дан­ных о пла­тежах, которые были переве­дены вымога­тель­ским хак‑груп­пам.

Эта БД, лишен­ная какой‑либо лич­ной информа­ции, будет дос­тупна ИБ‑спе­циалис­там и сот­рудни­кам пра­воох­ранитель­ных орга­нов для бес­плат­ной заг­рузки. К сожале­нию, такая база может быть лег­ко испорче­на под­дель­ными матери­ала­ми, и, что­бы про­тивос­тоять это­му, Кей­бл пла­ниру­ет изу­чать все пред­став­ленные матери­алы, а в будущем собира­ется добавить сис­тему голосо­вания для отдель­ных лиц, что­бы мож­но было помечать отче­ты как фик­тивные.

В целом сайт очень прост: он поз­воля­ет жер­твам атак шиф­роваль­щиков и спе­циалис­там по безопас­ности передать Ransomwhere копии сво­их записок с тре­бова­нием выкупа, а так­же сооб­щить о раз­мере выкупа и бит­койн‑адре­се, по которо­му жер­твы переве­ли пла­теж. Затем этот адрес будет про­индекси­рован в обще­дос­тупной БД.

Ос­новная идея зак­люча­ется в соз­дании цен­тра­лизо­ван­ной сис­темы, которая отсле­жива­ет пла­тежи, отправ­ленные хакерам, что поз­волит точ­нее оце­нить мас­шта­бы их при­былей и опе­раций, о которых извес­тно очень мало. Соз­датель про­екта наде­ется, что ано­ним­ный обмен дан­ными о пла­тежах через сто­рон­ний сер­вис, такой как Ransomwhere, устра­нит некото­рые барь­еры в ИБ‑сооб­щес­тве, такие как сог­лашения о нераз­гла­шении и деловая кон­курен­ция.

По­ка для рас­ширения сво­ей базы Кей­бл опи­рает­ся лишь на пуб­лично дос­тупные матери­алы, но уже изу­чает «воз­можнос­ти пар­тнерс­тва с ана­лити­чес­кими ком­пани­ями в области ИБ и блок­чей­на для интегра­ции дан­ных, которые они, воз­можно, име­ют о пос­тра­дав­ших».

Мно­гие отме­чают, что запуск про­екта Ransomwhere очень похож на запуск про­екта ID-Ransomware, соз­данно­го Май­клом Гил­леспи в начале 2016 года. Изна­чаль­но это был сайт, на который жер­твы хакеров мог­ли заг­рузить получен­ные запис­ки с тре­бова­нием выкупа, а сайт сооб­щал им, какое семей­ство мал­вари ата­кова­ло их сис­темы и где они могут получить помощь в вос­ста­нов­лении фай­лов. В ито­ге ID-Ransomware стал незаме­нимым инс­тру­мен­том для мно­гих спе­циалис­тов по реаги­рова­нию на инци­ден­ты.

Юбилей No More Ransom

В этом году сов­мес­тная ини­циати­ва пра­воох­ранитель­ных орга­нов и ИБ‑ком­паний со все­го мира, No More Ransom, отме­тила пятилет­ний юби­лей, и учас­тни­ки про­екта подели­лись инте­рес­ной ста­тис­тикой.

  • Про­ект был запущен в 2016 году, и на сегод­ня количес­тво его учас­тни­ков вырос­ло до 170.

  • Офи­циаль­ный сайт No More Ransom пре­дос­тавля­ет 121 бес­плат­ную ути­литу для рас­шифров­ки фай­лов пос­ле атак раз­личных вре­доно­сов. Эти инс­тру­мен­ты эффектив­ны про­тив 151 семей­ства вымога­телей.

  • Ути­литы, дос­тупные в репози­тории No More Ransom, уже помог­ли 6 000 000 человек бес­плат­но вос­ста­новить свои фай­лы.

  • За вре­мя сущес­тво­вания про­екта экспер­там уда­лось пре­дот­вра­тить получе­ние зло­умыш­ленни­ками более 900 000 000 дол­ларов США.

 

Исчезновение REvil

В середи­не июля сай­ты и вся инфраструк­тура вымога­теля REvil (Sodinokibi) в целом ушла в офлайн без объ­ясне­ния при­чин. Речь идет о целой сети обыч­ных и дар­кнет‑сай­тов, которые исполь­зуют­ся для перего­воров о выкупе, сли­ва похищен­ных у жертв дан­ных и внут­ренней инфраструк­туры вымога­теля.

Жур­налис­ты и ИБ‑экспер­ты отме­чают, что вре­мен­ное «падение» одно­го‑двух ресур­сов — это нор­маль­но, но пол­ное отклю­чение всей инфраструк­туры выг­лядит край­не стран­но. К при­меру, сайт decoder.re боль­ше вооб­ще не резол­вится с помощью DNS-зап­росов, а это ука­зыва­ет на отклю­чение всей DNS-инфраструк­туры на бэкен­де или отсутс­твие DNS-записей домена.

Су­дя по все­му, при­чиной это­го исчезно­вения ста­ла мас­штаб­ная ата­ка на кли­ентов извес­тно­го пос­тавщи­ка MSP-решений Kaseya, которую опе­рато­ры REvil про­вели в начале месяца. Для ата­ки хакеры исполь­зовали 0-day-уяз­вимос­ти в про­дук­те ком­пании (VSA).

Проб­лема зак­лючалась в том, что боль­шинс­тво пос­тра­дав­ших сер­веров VSA исполь­зовались MSP-про­вай­дерами, то есть ком­пани­ями, которые управля­ют инфраструк­турой дру­гих кли­ентов. А зна­чит, зло­умыш­ленни­ки раз­верну­ли шиф­роваль­щик в тысячах кор­поратив­ных сетей. По офи­циаль­ным дан­ным, ком­про­мета­ция зат­ронула око­ло 60 кли­ентов Kaseya, через инфраструк­туру которых хакеры смог­ли зашиф­ровать при­мер­но 800–1500 кор­поратив­ных сетей.

Пос­ле этой ата­ки хакеры пот­ребова­ли выкуп в раз­мере 70 мил­лионов дол­ларов США и тог­да пообе­щали опуб­ликовать уни­вер­саль­ный дешиф­ратор, который может раз­бло­киро­вать все пос­тра­дав­шие компь­юте­ры. Вско­ре груп­пиров­ка «сни­зила план­ку» до 50 мил­лионов дол­ларов.

Кро­ме того, в прош­лом месяце REvil тоже попала на пер­вые полосы мно­гих изда­ний, так как ата­кова­ла ком­панию JBS — круп­ней­ший в мире пос­тавщик говяди­ны и пти­цы, а так­же вто­рой по величи­не про­изво­дитель сви­нины. Ком­пания обслу­жива­ет кли­ентов из 190 стран мира, в том чис­ле США, Авс­тра­лии, Канады, Великоб­ритании.

Так как дав­но извес­тно, что REvil — рус­ско­языч­ная хак‑груп­па, на днях пре­зидент США Джо Бай­ден в телефон­ном раз­говоре приз­вал пре­зиден­та Рос­сии Вла­дими­ра Путина пре­сечь ата­ки хакеров‑вымога­телей, дей­ству­ющих с тер­ритории РФ. Бай­ден заявил, что, если пос­ле это­го Рос­сия не при­мет меры, США будут вынуж­дены при­нять их сами.

«Я пре­дель­но ясно объ­яснил ему [Путину], что, ког­да опе­рация прог­раммы‑вымога­теля исхо­дит с его тер­ритории, Соеди­нен­ные Шта­ты ожи­дают, что, даже если она не орга­низо­вана государс­твом, они будут дей­ство­вать, если мы пре­дос­тавим им дос­таточ­но информа­ции о том, кто к это­му при­час­тен», — сооб­щил Бай­ден жур­налис­там пос­ле телефон­ного раз­говора.

Так­же сто­ит отме­тить, что сов­сем недав­но в похожих обсто­ятель­ствах свою деятель­ность экс­трен­но прек­ратили опе­рато­ры вымога­телей DarkSide и Babuk. Пер­вая груп­пиров­ка «зак­рылась» пос­ле мас­штаб­ной ата­ки на аме­рикан­ско­го опе­рато­ра тру­боп­ровода Colonial Pipeline, так как прив­лекла к себе слиш­ком мно­го вни­мания (в том чис­ле со сто­роны пра­воох­ранитель­ных орга­нов). Вто­рая груп­па объ­яви­ла о прек­ращении работы пос­ле гром­кой ата­ки на полицей­ское управле­ние Вашин­гто­на.

Вско­ре пос­ле исчезно­вения REvil пред­ста­витель хак‑груп­пы, сто­ящей за вымога­телем LockBit, сооб­щил на извес­тном хакер­ском форуме XSS, что, по слу­хам, опе­рато­ры REvil стер­ли свои сер­веры, узнав о неко­ем «зап­росе орга­нов».

Пос­ле пуб­ликации это­го сооб­щения адми­нис­тра­ция XSS и вов­се забани­ла на форуме поль­зовате­ля Unknown, пуб­лично­го пред­ста­вите­ля груп­пы REvil. Как пра­вило, адми­нис­тра­ция хак‑форумов бло­киру­ет поль­зовате­лей в том слу­чае, если есть подоз­рения, что акка­унт находит­ся под кон­тро­лем полиции.

Фальшивый майнинг

  • По дан­ным ком­пании Lookout, око­ло 93 000 поль­зовате­лей пла­тили мошен­никам за 172 Android-при­ложе­ния для облачно­го май­нин­га крип­товалю­ты, которые не работа­ли.

  • Ис­сле­дова­тели раз­делили фей­ки на два отдель­ных семей­ства: BitScam (83 800 уста­новок) и CloudScam (9600 уста­новок). 25 фаль­шивых при­ложе­ний были дос­тупны в офи­циаль­ном Google Play Store, тог­да как дру­гие рас­простра­нялись через сто­рон­ние магази­ны.

  • Воп­реки рек­ламным заяв­лени­ям, в при­ложе­ниях поп­росту не было фун­кций облачно­го май­нин­га. Вмес­то это­го мошен­ники напол­няли свои кошель­ки, про­давая под­делки, которые не делали ничего. В общей слож­ности прес­тупни­ки «зарабо­тали» более 350 000 дол­ларов: 300 000 дол­ларов от про­дажи при­ложе­ний и еще 50 000 дол­ларов за фей­ковые обновле­ния и допол­нитель­ные услу­ги.

 

DuckDuckGo против трекеров

Раз­работ­чики поис­ковика DuckDuckGo соз­дали email-сер­вис, уда­ляющий из вхо­дящих сооб­щений любые тре­керы, которые, к при­меру, помога­ют сос­тавлять про­фили поль­зовате­лей для тар­гетиро­ван­ной рек­ламы. Поль­зовате­ли нового сер­виса получа­ют бес­плат­ный адрес на @duck.com, где пись­ма очи­щают­ся от тре­керов, пос­ле чего пересы­лают­ся в обыч­ный поч­товый ящик.

В нас­тоящее вре­мя сер­вис зарабо­тал в режиме зак­рытого бета‑тес­та. Пока вос­поль­зовать­ся им мож­но, толь­ко встав в «оче­редь» через спе­циаль­ный спи­сок ожи­дания, новые заяв­ки в который при­нима­ются ежед­невно.

Раз­ного рода тре­керы могут сооб­щать отпра­вите­лям элек­трон­ной поч­ты, ког­да поль­зователь откры­вает их сооб­щение, и помога­ют рек­ламным ком­пани­ям соз­дать про­филь челове­ка на осно­вании соб­ранных метадан­ных (какое устрой­ство исполь­зовали для чте­ния пись­ма, ког­да его откры­ли, дан­ные о мес­тополо­жении и так далее). Хуже того, эти дан­ные в ито­ге могут попасть в руки треть­их лиц.

«Если вы исполь­зуете поч­товый сер­вис, такой как Gmail или Yahoo, это не проб­лема! Элек­трон­ные пись­ма, отправ­ленные на ваш лич­ный Duck-адрес, будут при­ходить туда, как обыч­но, так что вы смо­жете читать свою элек­трон­ную поч­ту в любом при­ложе­нии или в интерне­те, без проб­лем», — говорят раз­работ­чики DuckDuckGo.

Так­же новый сер­вис будет пре­дос­тавлять одно­разо­вые поч­товые ящи­ки, к при­меру для исполь­зования на недове­рен­ных сай­тах, которые могут навяз­чиво спа­мить сооб­щени­ями или делить­ся email-адре­сами с кем‑то еще.

В DuckDuckGo уве­ряют, что сер­вис ни в коем слу­чае «не будет сох­ранять ваши элек­трон­ные пись­ма», а поч­та вооб­ще будет толь­ко обра­баты­вать­ся в памяти. Так, получив email, сер­вис уда­лит из него скры­тые тре­керы и переш­лет на ука­зан­ный адрес, даже не сох­ранив сопутс­тву­ющие заголов­ки, нап­ример с ука­зани­ем отпра­вите­лей и получа­телей.

Ко­неч­ный адрес получа­теля — это единс­твен­ная лич­ная информа­ция, которую DuckDuckGo будет сох­ранять (по понят­ным при­чинам). Но если поль­зователь захочет уда­лить свою учет­ную запись, его email-адрес в ито­ге тоже будет уда­лен из сис­темы в течение 30 дней.

Байден об опасности вымогателей

В пос­леднее вре­мя ата­ки вымога­телей и шиф­роваль­щиков на объ­екты кри­тичес­кой инфраструк­туры перес­тали быть ред­костью. К при­меру, авто­ры мал­вари DarkSide ата­кова­ли одно­го из круп­ней­ших в США опе­рато­ров тру­боп­ровода, ком­панию Colonial Pipeline, чем спро­воци­рова­ли вве­дение режима ЧС в ряде шта­тов.

Так­же мож­но вспом­нить, что в прош­лом месяце хак‑груп­па REvil ата­кова­ла ком­панию JBS — круп­ней­ший в мире пос­тавщик говяди­ны и пти­цы, а так­же вто­рой по величи­не про­изво­дитель сви­нины. Пос­ле этих и нес­коль­ких дру­гих инци­ден­тов на круп­ней­ших хак‑форумах вов­се зап­ретили рек­ламиро­вать и обсуждать шиф­роваль­щики, и мно­гие груп­пиров­ки пред­почли на вре­мя уйти в тень.

Учас­тивши­еся ата­ки вымога­телей и сло­жив­шуюся вок­руг них ситу­ацию про­ком­менти­ровал пре­зидент США Джо Бай­ден.

«Зна­ете, мы наб­люда­ем, что киберуг­розы, вклю­чая ата­ки прог­рамм‑вымога­телей, все чаще спо­соб­ны наносить реаль­ный ущерб и вре­дить реаль­ному миру. [В этом воп­росе] я информи­рован нас­коль­ко же, нас­коль­ко вы, и не могу ничего гаран­тировать, но я счи­таю, что... если мы закон­чим вой­ной, нас­тоящей вой­ной, со стрель­бой, с дру­гой круп­ной дер­жавой, то это будет следс­твие кибера­таки с серь­езны­ми пос­ледс­тви­ями. И веро­ятность такого [исхо­да] рас­тет в геомет­ричес­кой прог­рессии»

— пре­дос­терег Джо Бай­ден

 

Блокировка Chrome OS

Вы­пус­тив Chrome OS вер­сии 91.0.4472.167, инже­неры Google испра­вили серь­езную ошиб­ку, из‑за которой люди не мог­ли поль­зовать­ся сво­ими устрой­ства­ми (пос­ле уста­нов­ки вер­сии 91.0.4472.165). Из‑за опе­чат­ки, допущен­ной в коде, поль­зовате­ли не мог­ли вой­ти в сис­тему, а девай­сы, работа­ющие под управле­нием Chrome OS, по сути, ока­зались заб­локиро­ваны.

Проб­лема усу­губ­лялась тем, что Chrome OS заг­ружа­ет обновле­ния авто­мати­чес­ки и перехо­дит на новую вер­сию пос­ле перезаг­рузки устрой­ства. То есть пос­ле штат­ной перезаг­рузки люди с удив­лени­ем обна­ружи­вали, что их девайс пол­ностью заб­локиро­ван.

Жур­налис­там Android Police уда­лось обна­ружить корень этой проб­лемы. Изда­ние ссы­лает­ся на ком­мента­рий поль­зовате­ля elitist_ferret, най­ден­ный на Reddit. Тот писал, что баг, оче­вид­но, сво­дил­ся к баналь­ной одно­сим­воль­ной опе­чат­ке. Стро­ка кода в Cryptohome VaultKeyset, где хра­нят­ся клю­чи шиф­рования поль­зовате­лей, дол­жна была выг­лядеть так: if (key_data_.has_value() && !key_data_->label().empty()) {. Но вмес­то && в коде исполь­зовал­ся толь­ко один амперсанд.

В ито­ге Chrome OS не про­веря­ла пароли поль­зовате­лей, сопос­тавляя их с сох­ранен­ными клю­чами, и даже кор­рек­тно вве­ден­ные пароли воз­вра­щались с сооб­щени­ем об ошиб­ке: «К сожале­нию, ваш пароль не может быть верифи­циро­ван».

Поль­зовате­лям, пос­тра­дав­шим от обновле­ния 91.0.4472.165, рекомен­довали дож­дать­ся пов­торно­го обновле­ния устрой­ства (на рас­простра­нение исправ­ленной вер­сии пот­ребова­лось «нес­коль­ко дней») или очис­тить девайс при­нуди­тель­но, то есть сте­реть с него все локаль­ные дан­ные и вой­ти в сис­тему.

Так как Chrome OS в основном работа­ет в обла­ке, очис­тка устрой­ства соп­ряжена с мень­шим количес­твом проб­лем, чем в обыч­ных ОС, но некото­рые поль­зовате­ли все рав­но жалова­лись на потерю дан­ных.

Дырявые приложения

  • Ис­сле­дова­тели Atlas VPN под­счи­тали, что более 60% всех при­ложе­ний для Android содер­жат уяз­вимос­ти, при этом сред­нее количес­тво оши­бок в одном при­ложе­нии рав­няет­ся 39.

  • Для это­го иссле­дова­ния была изу­чена безопас­ность опен­сор­сных ком­понен­тов в 3335 бес­плат­ных и плат­ных при­ложе­ниях из Google Play Store по сос­тоянию на пер­вый квар­тал 2021 года.

  • Худ­ший резуль­тат показа­ли при­ложе­ния из катего­рии бес­плат­ных игр: 96% из них содер­жат уяз­вимые ком­понен­ты. Сле­дом идут самые при­быль­ные плат­ные игры (94% уяз­вимы), а за ними, как ни стран­но, сле­дуют бан­ков­ские при­ложе­ния (88% уяз­вимы).

  • Все­го было обна­руже­но 3137 уни­каль­ных уяз­вимос­тей, которые про­яви­лись в при­ложе­ниях более 82 000 раз. При этом 73% уяз­вимос­тей были обна­руже­ны более двух лет назад, одна­ко до сих пор встре­чают­ся в при­ложе­ниях.

  • Боль­шинс­тво этих оши­бок мож­но было испра­вить, если бы раз­работ­чики утружда­ли себя про­веде­нием ауди­тов. В обра­зова­тель­ных при­ложе­ниях мож­но устра­нить 43% уяз­вимос­тей, а в при­ложе­ниях для повыше­ния про­изво­дитель­нос­ти и бан­ков­ских при­ложе­ниях 41% и 39%.

 

Порнография и новости

Поль­зовате­ли круп­ных новос­тных сай­тов, вклю­чая The Washington Post, New York Magazine, HuffPost и мно­гие дру­гие ресур­сы, обна­ружи­ли, что вмес­то обыч­ных видео в стать­ях отоб­ража­ются пор­нороли­ки. Это про­изош­ло из‑за про­дажи домена Vid.me, который не работал нес­коль­ко лет, а теперь сме­нил вла­дель­цев.

Пер­вым на эту проб­лему обра­тило вни­мание изда­ние Vice Motherboard. Жур­налис­ты рас­ска­зали, что кон­тент для взрос­лых появил­ся на сай­тах новос­тей пос­ле того, как домен Vid.me был при­обре­тен пор­носай­том 5 Star Porn HD и для домена вклю­чили перенап­равле­ние на этот самый пор­носайт. В ито­ге на стра­ницах изда­ний, куда ранее были встро­ены ролики с Vidme, ока­залось жес­ткое пор­но.

Сер­вис Vidme появил­ся в 2014 году и изна­чаль­но задумы­вал­ся как некая смесь YouTube и Reddit, но уже в 2017 году сайт прек­ратил работу, не выдер­жав кон­курен­ции со сто­роны Google и Facebook. За этим пос­ледова­ло сооб­щение в бло­ге про­екта, где говори­лось, что Vidme про­дан Giphy, а все видео окон­чатель­но уда­лят 15 декаб­ря 2017 года. Это озна­чало, что все iframe, встра­ивающие ролики Vidme на дру­гие сай­ты, дол­жны были перес­тать отоб­ражать что‑либо или показы­вать сооб­щение об ошиб­ке. Но что‑то пош­ло не так.

Ока­залось, что регис­тра­ция домена и его вла­делец были обновле­ны в этом месяце. Похоже, регис­тра­ция домена поп­росту истекла, и его успе­ла переку­пить ком­пания 5 Star HD Porn, которая в ито­ге и перенап­равила все ссыл­ки, ведущие на vid.me, на свой пор­носайт.

Не­извес­тно, было слу­чив­шееся ошиб­кой или кто‑то в 5 Star HD Porn счел воз­можным про­рек­ламиро­вать свой ресурс таким обра­зом. В ком­пании не отве­тили на зап­росы жур­налис­тов.

Кнопочные телефоны снова популярны

  • Пред­ста­вите­ли круп­ных ретей­леров отме­чают, что в пер­вом полуго­дии 2021 года в Рос­сии неожи­дан­но вырос­ли про­дажи прос­тых кно­поч­ных телефо­нов, ранее сни­жав­шиеся на 5–10% в год. За этот пери­од было про­дано 3 100 000 кно­поч­ных телефо­нов, это на 6,7% боль­ше, чем за тот же пери­од 2020 года.

  • В денеж­ном выраже­нии про­дажи вырос­ли на 18,8%, дос­тигнув 4 500 000 000 руб­лей.

  • В пятер­ку наибо­лее популяр­ных про­изво­дите­лей вош­ли Nokia, Philips, teXet, Itel и BQ mobile.

Ана­лити­ки говорят, что рань­ше такие устрой­ства покупа­ли в основном для детей и пожилых людей, а так­же прос­тыми устрой­ства­ми обза­води­лись тру­довые миг­ранты. Теперь же рост про­даж свя­зыва­ют с пан­деми­ей и уда­лен­ной работой, так как уда­лен­ные сот­рудни­ки заменя­ют кно­поч­ными аппа­рата­ми ста­ционар­ные устрой­ства. Кро­ме того, счи­тает­ся, что повыси­лась осве­дом­ленность людей о раз­ного рода мошен­ничес­твах и кра­жах дан­ных.

 

Новая дыра в Linux

Эк­спер­ты ком­пании Qualys обна­ружи­ли новую уяз­вимость в Linux, бла­года­ря которой зло­умыш­ленни­ки могут получить root-дос­туп в боль­шинс­тве дис­три­бути­вов, вклю­чая Ubuntu, Debian и Fedora.

Уяз­вимость получи­ла наз­вание Sequoia и иден­тифика­тор CVE-2021-33909. Баг был обна­ружен на уров­не локаль­ного ком­понен­та filesystem, который вза­имо­дей­ству­ет с локаль­ными фай­лами и исполь­зует­ся для управле­ния ими.

Ис­сле­дова­тели объ­ясня­ют, что при соз­дании, мон­тирова­нии и пос­леду­ющем уда­лении струк­туры катало­гов боль­шой вло­жен­ности, с дли­ной пути более 1 Гбайт, воз­ника­ет ошиб­ка Sequoia, пред­став­ляющая собой баг out-of-bounds чте­ния. Этот баг поз­воля­ет любой локаль­ной учет­ной записи с низ­ким уров­нем при­виле­гий выпол­нить код с при­виле­гиями root.

Уяз­вимость не может исполь­зовать­ся для уда­лен­ных атак, но, если зло­умыш­ленник уже про­ник в сис­тему, Sequoia может стать иде­аль­ным решени­ем для пей­лоадов вто­рого уров­ня.

«Мы успешно вос­поль­зовались этой out-of-bounds-проб­лемой и получи­ли при­виле­гии root в Ubuntu 20.04, Ubuntu 20.10, Ubuntu 21.04, Debian 11 и Fedora 34 Workstation. Дру­гие дис­три­бути­вы Linux, веро­ятно, тоже уяз­вимы и при­год­ны для экс­плу­ата­ции уяз­вимос­ти», — говорят спе­циалис­ты.

Пат­чи для CVE-2021-33909 были выпуще­ны раз­работ­чиками мно­гих дис­три­бути­вов в середи­не июля, так как Qualys уве­доми­ла коман­ду раз­работ­чиков ядра Linux о баге еще в начале июня и проб­лему испра­вили в ядре вер­сии 5.13.4.

Сто­ит отме­тить, что в этом месяце коман­да Qualys рас­кры­ла еще одну Linux-уяз­вимость: отказ в обслу­жива­нии, свя­зан­ный с systemd (CVE-2021-33910). Эта уяз­вимость может исполь­зовать­ся неп­ривиле­гиро­ван­ными зло­умыш­ленни­ками для DoS-атак и про­воци­рова­ния «паники ядра» (kernel panic).

Bug Bounty Microsoft

Microsoft опуб­ликова­ла офи­циаль­ную ста­тис­тику, каса­ющуюся работы 17 bug bounty прог­рамм ком­пании и ее сис­темы гран­тов за пос­ледний год.

  • В пери­од с 1 июля 2020 года по 30 июня 2021 года об ошиб­ках ком­панию уве­домил 341 ИБ‑иссле­дова­тель из 58 стран мира.

  • Баг‑репор­ты при­нес­ли спе­циалис­там более 13 600 000 дол­ларов, так как сум­марно им уда­лось выявить 1261 ошиб­ку.

  • Боль­шинс­тво сооб­щений об ошиб­ках пос­тупило от иссле­дова­телей, про­жива­ющих в Ки­тае, США и Из­раиле.

  • Са­мая круп­ная сум­ма, при­суж­денная ком­пани­ей за пос­ледний год, сос­тавила 200 000 дол­ларов, и эту наг­раду получил спе­циалист, нашед­ший кри­тичес­кую уяз­вимость в Hyper-V. В сред­нем же вып­лата за одну уяз­вимость рав­нялась при­мер­но 10 000 дол­ларов.

  • Сум­ма, пот­рачен­ная ком­пани­ей на bug bounty за про­шед­ший год, прак­тичес­ки рав­на сум­ме за пери­од с 1 июля 2019 года по 30 июня 2020 года. Тог­да зат­раты ком­пании на воз­награж­дения иссле­дова­телям сос­тавили 13 700 000 дол­ларов США.

 

Взлом Apex Legends

В пер­вых чис­лах июля игро­ки королев­ской бит­вы Apex Legends, которую раз­рабаты­вает ком­пания Respawn Entertainment, начали мас­сово жаловать­ся на появ­ление стран­ных сооб­щений в поль­зователь­ском интерфей­се игры. При­чем проб­лема зат­ронула поль­зовате­лей ПК, Xbox One и PS4.

Со­обще­ния при­зыва­ли спас­ти дру­гую игру этой же ком­пании — Titanfall — и вели на сайт SaveTitanfall.com, запущен­ный ранее в этом году. На этом ресур­се пок­лонни­ки игры про­сят раз­работ­чиков Respawn вме­шать­ся в про­исхо­дящее и разоб­рать­ся с хакера­ми, из‑за которых Titanfall уже нес­коль­ко лет стра­дает от пос­тоян­ных DDoS-атак.

«TF1 под­верга­ется ата­кам, а зна­чит, так же будет с Apex», — писали неиз­вес­тные взлом­щики.

Тог­да как одни игро­ки сооб­щали, что при­зывы спас­ти Titanfall появ­ляют­ся в игре виде бан­нера или всплы­вающе­го сооб­щения, которое отоб­ража­ется пос­ле каж­дого раун­да, дру­гие жалова­лись, что у них из‑за взло­ма вооб­ще появил­ся «новый режим» SaveTitanfall, из‑за которо­го дру­гие режимы и поиск мат­чей поп­росту не работа­ли.

Ка­ким обра­зом была реали­зова­на эта ата­ка, до сих пор неяс­но, но пред­ста­вите­ли Respawn Entertainment быс­тро сооб­щили, что им извес­тно о проб­леме, а вско­ре отчи­тались о ее устра­нении. На ком­мента­рии жур­налис­тов, которые инте­ресо­вались деталя­ми слу­чив­шегося, в ком­пании не отве­тили.

Ин­терес­но, что соз­датели сай­та SaveTitanfall, на который хакеры нап­равля­ли поль­зовате­лей, пос­пешили сооб­щить, что не име­ют к этой ата­ке никако­го отно­шения.

Хакерские игры

  • Эк­спер­ты «Лабора­тории Кас­пер­ско­го» пре­дуп­редили, что пан­демия пов­лияла на индус­трию виде­оигр, а так­же на киберуг­розы для гей­меров. Общее количес­тво активных гей­меров уже приб­лижа­ется к 3 млрд человек по все­му миру, а с перехо­дом на «уда­лен­ный образ жиз­ни» количес­тво атак, экс­плу­ати­рующих игро­вую темати­ку, уве­личи­лось более чем на 50%.
Количество атак, использующих игровую тематику, в период с января 2020 по май 2021 года
Ко­личес­тво атак, исполь­зующих игро­вую темати­ку, в пери­од с янва­ря 2020 по май 2021 года
  • Ес­ли взгля­нуть на динами­ку количес­тва таких атак, мож­но уви­деть, что наибо­лее рас­простра­нен­ной нажив­кой для гей­меров пос­тепен­но ста­новит­ся CS:GO. Так­же в рей­тин­ге популяр­ных наживок оста­ются Dota, Warcraft и PUBG.
Динамика количества атак с использованием тематики конкретных онлайн-игр
Ди­нами­ка количес­тва атак с исполь­зовани­ем темати­ки кон­крет­ных онлайн‑игр
  • Ис­сле­дова­тели отме­чают, что перечень мал­вари, чаще все­го рас­простра­няющей­ся с помощью ссы­лок с игро­вой темати­кой, изме­нил­ся по срав­нению с прош­лым годом. Теперь рей­тинг воз­глав­ляет семей­ство мал­вари Badur.
Мал­варь Час­тота
HEUR:Trojan.MSOffice.Badur.gena 4,72%
HEUR:Trojan.Script.Miner.gen 3,02%
HEUR:Trojan.PDF.Badur.gena 2,36%
HEUR:Trojan.OLE2.Badur.gena 1,57%
HEUR:Trojan.Multi.Preqw.gen 1,46%
HEUR:Trojan-PSW.Script.Generic 0,86%
Trojan-Downloader.Win32.Upatre.vwi 0,82%
HEUR:Trojan.Win32.Generic 0,81%
HEUR:Trojan.Script.SAgent.gen 0,70%
HEUR:Trojan.Script.Fraud.gen 0,43%
 

App Bundles вместо APK

Раз­работ­чики Google объ­яви­ли, что с августа 2021 года все новые при­ложе­ния, заг­ружа­емые в Google Play Store, дол­жны будут исполь­зовать новый фор­мат Android App Bundles (AAB) вмес­то при­выч­ного APK (Android PacKage), который при­меня­ется в Android с 2008 года. В ком­пании объ­ясня­ют, что AAB — это более уни­вер­саль­ный, «пакет­ный» фор­мат, который поз­волит умень­шить объ­ем при­ложе­ний и адап­тировать их для раз­ных устройств.

Фор­мат AAB появил­ся в 2018 году, и его основная идея зак­люча­ется в том, что Android-девай­сы име­ют мно­жес­тво раз­личных аппа­рат­ных и язы­ковых ком­бинаций, которые дол­жны под­держи­вать при­ложе­ния, а дос­тавка все­го это­го кода на каж­дое отдель­ное устрой­ство — пус­тая тра­та мес­та. Дело в том, что Android под­держи­вает более 150 язы­ков, четыре архи­тек­туры ЦП (ARMv7, ARMv8, x86 и x86_64) и раз­личные раз­решения экра­на, и все свя­зан­ные с этим дан­ные, сос­редото­чен­ные в одном APK, сущес­твен­но уве­личи­вают «вес» пос­ледне­го.

В свою оче­редь, Android App Bundle прев­раща­ет при­ложе­ния в набор «раз­делен­ных APK», которые могут раз­давать­ся из Google Play Store для каж­дого отдель­ного устрой­ства. В сущ­ности, такие «раз­делен­ные APK» не явля­ются пол­ноцен­ными при­ложе­ниями. Это лишь час­ти при­ложе­ний, каж­дая из которых сос­редото­чена на опре­делен­ной области, а все вмес­те они обра­зуют при­ложе­ние. К при­меру, если у вас есть устрой­ство на базе ARMv8 с высоким раз­решени­ем, работа­ющее на англий­ском язы­ке, Google Play Store пре­дос­тавит вам набор «раз­делен­ных APK», которые под­держи­вают толь­ко устрой­ство с такими парамет­рами. А если у вашего дру­га есть телефон на базе ARM v7 с низ­ким раз­решени­ем, который исполь­зует англий­ский и рус­ский, он получит дру­гой набор APK, ори­енти­рован­ный имен­но на такой девайс.

Та­ким обра­зом, каж­дый поль­зователь получит толь­ко тот код, который нужен его устрой­ству. По сло­вам раз­работ­чиков Google, это поможет сок­ратить «вес» при­ложе­ний при­мер­но на 15%.

Так­же раз­работ­чики при­ложе­ний смо­гут исполь­зовать App Bundle для управле­ния фун­кци­ями сво­их про­дук­тов. К при­меру, какие‑то фун­кции могут дос­тавлять­ся толь­ко на те устрой­ства, которые их под­держи­вают, или будут дос­тупны поль­зовате­лям лишь по зап­росу.

Мно­гие отме­чают, что переход на AAB так­же даст Google боль­ший кон­троль над всей эко­сис­темой Android. Дело в том, что пакеты Android App Bundle дол­жны обра­баты­вать­ся инфраструк­турой магази­на при­ложе­ний. Хотя AAB — это фор­мат с откры­тым исходным кодом и у Google есть опен­сор­сное при­ложе­ние bundletool, мно­гим ком­пани­ям все же пот­ребу­ется соз­дать собс­твен­ную инфраструк­туру и опла­тить все свя­зан­ные с этим рас­ходы.

Хо­тя откры­тый исходный код App Bundles поз­воля­ет лег­ко под­держи­вать их, аль­тер­натив­ным магази­нам при­ложе­ний при­дет­ся взять на себя мно­го работы и ответс­твен­ности, и, веро­ятно, новый фор­мат ста­нет активно при­менять­ся толь­ко в Google Play Store.

Кро­ме того, мно­гие экспер­ты отме­чают, что переход на AAB свя­зан еще с одним немало­важ­ным аспектом. Так, одним из основных ком­понен­тов безопас­ности APK явля­ется под­писание при­ложе­ний. По сути, речь идет о циф­ровом сер­тифика­те, который при­над­лежит раз­работ­чику при­ложе­ния и удос­товеря­ет, что тот соз­дал это при­ложе­ние. Под­пись неак­туаль­на при пер­вой уста­нов­ке, но во вре­мя всех пос­леду­ющих обновле­ний под­писи дол­жны сов­падать. Это озна­чает, что толь­ко вла­делец сер­тифика­та (исходный раз­работ­чик при­ложе­ния) может обно­вить при­ложе­ние. То есть никакая слу­чай­ная третья сто­рона не может соз­дать APK под наз­вани­ем Google-Pay.apk, который переза­пишет реаль­ное при­ложе­ние Google Pay Store и похитит всю информа­цию поль­зовате­ля.

Од­нако если вся сис­тема сбор­ки при­ложе­ния дол­жна раз­мещать­ся в обла­ке, клю­чи под­писи раз­работ­чиков тоже дол­жны раз­мещать­ся в обла­ке, а это перек­ладыва­ет ответс­твен­ность за при­ложе­ние с раз­работ­чика на Google.

«Google называ­ет это Google Play App Signing, и ком­пания серь­езно обе­щает, что вы по‑преж­нему будете вла­деть при­ложе­нием и иметь к нему дос­туп. Но это нем­ного похоже на переда­чу докумен­тов на ваш дом треть­ему лицу. Google кон­тро­лиру­ет Play Store, а зна­чит, ком­пании уже при­над­лежит ули­ца и ваша подъ­ездная дорож­ка, а теперь [Google] будет иметь еще боль­ший кон­троль над вашим при­ложе­нием», — отме­чает изда­ние ArsTechnica.

Де­ло в том, что, если инфраструк­тура магази­на при­ложе­ний будет ском­про­мети­рова­на, третья сто­рона смо­жет получить дос­туп к клю­чам раз­работ­чиков и начать рас­простра­нять вре­донос­ные обновле­ния. Так­же вста­ет воп­рос доверия вла­дель­цу магази­на при­ложе­ний. Ведь теперь он вла­деет клю­чом под­писи и может изме­нить любое при­ложе­ние без ведома авто­ра, если захочет. Нап­ример, пра­витель­ство может вынудить вла­дель­ца магази­на при­ложе­ний изме­нить чье‑то при­ложе­ние по сво­ему усмотре­нию.

Что­бы раз­веять опа­сения по это­му поводу, спе­циалис­ты Google пош­ли на ряд усту­пок. Так, раз­работ­чики смо­гут хра­нить локаль­ную копию клю­ча под­писи, который они заг­рузили на сер­веры Google, что поз­волит им выпус­кать валид­ные обновле­ния, которые мож­но уста­нав­ливать поверх вер­сий из Google Play Store.

Так­же раз­работ­чики смо­гут заг­рузить под­писан­ные Distribution APK через кон­соль раз­работ­чика Google Play. Эти фай­лы пред­став­ляют собой обыч­ные уни­вер­саль­ные APK, которые мож­но исполь­зовать для заг­рузки в дру­гие магази­ны. Для тех, кто боит­ся, что Google может изме­нить при­ложе­ние без сог­ласия раз­работ­чика, пре­дус­мотре­на новая необя­затель­ная фун­кция «проз­рачнос­ти кода», которая поз­волит раз­работ­чикам про­верять, соот­ветс­тву­ют ли хеши тому коду, который они заг­рузили в магазин ранее.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии