В этом месяце: Илон Маск все‑таки купил Twitter за 44 мил­лиар­да, мошен­ники обма­нули бан­коматы «Аль­фа‑бан­ка» на 60 мил­лионов руб­лей с помощью купюр из «бан­ка при­колов», дро­ны с хакер­ским обо­рудо­вани­ем ата­кова­ли финан­совую ком­панию из США, баг ядра Linux пов­режда­ет дис­плеи ноут­буков с Intel GPU на бор­ту, интернет‑архе­оло­гам пред­ложили изу­чить 11 Тбайт ста­рых дис­кет и CD, кар­деры сно­ва устро­или «аттрак­цион невидан­ной щед­рости» и раз­дают кар­ты бес­плат­но, и дру­гие инте­рес­ные события про­шед­шего октября.
 

Миллионы из банка приколов

СМИ ста­ло извес­тно о круп­ной афе­ре, от которой недав­но пос­тра­дал «Аль­фа‑банк»: мошен­ники внес­ли в бан­коматы фаль­шивые купюры на общую сум­му более 60 мил­лионов руб­лей, пос­ле чего сня­ли уже нас­тоящие день­ги.

Ин­цидент про­изо­шел в кон­це августа, и прес­тупни­ки ата­кова­ли опре­делен­ные модели бан­коматов ком­пании NCR, под­делав пятиты­сяч­ные купюры образца 1997 года. Мошен­ники поп­росту внес­ли фаль­шивые купюры на свои сче­та в «Аль­фа‑бан­ке», а бан­коматы не обна­ружи­ли под­делки и при­няли все налич­ные.

По дан­ным источни­ков, в общей слож­ности бан­коматы при­няли боль­ше 12 300 фаль­шивых купюр, то есть ущерб исчисля­ется десят­ками мил­лионов руб­лей. Ког­да все фаль­шив­ки были пущены в дело, мошен­ники сня­ли нас­тоящие день­ги через дру­гие бан­коматы.

По­ка полиция про­води­ла про­вер­ку по заяв­лению бан­киров, обна­ружив­ших подоз­ритель­ную активность, прес­тупни­ки еще нес­коль­ко дней про­дол­жали свои махина­ции. То есть их жер­тва­ми мог­ли стать не толь­ко бан­киры, но и обыч­ные граж­дане, которым бан­коматы при сня­тии налич­ных мог­ли выдать купюры «бан­ка при­колов».

В ходе рас­сле­дова­ния было уста­нов­лено, что для сво­ей ата­ки прес­тупни­ки выб­рали два типа бан­коматов ком­пании NCR с уста­рев­шими ПО и устрой­ства­ми при­ема купюр. При этом усердство­вать в изго­тов­лении фаль­шивок зло­умыш­ленни­кам не приш­лось: купюры они при­обре­ли в сувенир­ных магази­нах и лишь нем­ного дорабо­тали. Экспер­тиза показа­ла, что фаль­шив­ки напеча­таны спо­собом цвет­ной элек­трог­рафии на обыч­ном ксе­рок­се и уже пос­ле на купюры нанес­ли ими­тацию некото­рых сте­пеней защиты.

В нас­тоящее вре­мя воз­бужде­но уго­лов­ное дело по фак­ту кра­жи в осо­бо круп­ном раз­мере (п. б ч. 4 ст. 158 УК РФ), потер­певши­ми по которо­му про­ходят «Аль­фа‑банк» и ряд неболь­ших кре­дит­ных учрежде­ний. По дан­ным СМИ, дело воз­будило УВД по Северо‑Вос­точно­му окру­гу сто­лицы.

Ве­роят­но, шан­сы рас­крыть это прес­тупле­ние у пра­воох­раните­лей неп­лохие, так как, по информа­ции жур­налис­тов, они уже выш­ли на след орга­низа­торов, которые не сумели надеж­но скрыть свои сле­ды. Так, прак­тичес­ки все бан­ков­ские сче­та и кар­ты были офор­мле­ны на под­став­ных лиц (дро­пов), которые силь­но зло­упот­ребля­ли алко­голем. Имен­но эти люди вно­сили в бан­коматы фаль­шив­ки, а затем сни­мали нас­тоящие день­ги. При этом до орга­низа­торов афе­ры яко­бы доходи­ла не вся выруч­ка: алко­голи­ки успе­вали пот­ратить часть денег в бли­жай­ших к бан­комату магази­нах.

Пред­ста­вите­ли «Аль­фа‑бан­ка» заяви­ли, что на вре­мя следс­твия воз­держи­вают­ся от ком­мента­риев.

Мобильный трафик снизился на 2,5%

Дан­ные Мин­цифры сви­детель­ству­ют о том, что в Рос­сии впер­вые сок­ратил­ся мобиль­ный тра­фик. Во вто­ром квар­тале 2022 года по срав­нению с янва­рем — мар­том он умень­шил­ся поч­ти на 2,5% (8,35 мил­лиар­да Гбайт про­тив 8,54 мил­лиар­да Гбайт ранее). Так­же, по дан­ным Рос­комнад­зора, в июле текуще­го года транс­гра­нич­ный тра­фик в РФ вышел на пла­то (в срав­нении с янва­рем 2022 года сни­жение сос­тавило око­ло 1%).

Учас­тни­ки рын­ка и экспер­ты свя­зыва­ют сни­жение объ­емов тра­фика с бло­киров­ками зарубеж­ных ресур­сов, вве­ден­ными пос­ле начала спе­циаль­ной воен­ной опе­рации, а так­же с доб­роволь­ным отка­зом от работы в РФ инос­тран­ных сер­висов. В час­тнос­ти, речь идет о бло­киров­ке Facebook и Instagram (при­над­лежат ком­пании Meta, деятель­ность которой приз­нана экс­тре­мист­ской и зап­рещена в Рос­сии), а так­же об отка­зе TikTok работать с рос­сий­ской ауди­тори­ей.

 

Утечки с Госуслуг

В этом месяце в Telegram-каналах и СМИ нес­коль­ко раз появ­лялась информа­ция о сли­вах дан­ных, яко­бы при­над­лежащих поль­зовате­лям Госус­луг.

О пер­вых трех утеч­ках дан­ных (5000, 2000 и 22 000 строк) сооб­щали спе­циалис­ты Data Leakage & Breach Intelligence (DLBI). По дан­ным ана­лити­ков, эта информа­ция, веро­ятно, была получе­на «бла­года­ря» перебо­ру иден­тифика­торов поль­зовате­лей Еди­ной сис­темы иден­тифика­ции и аутен­тифика­ции (ЕСИА). Экспер­ты напоми­нали, что в кон­це прош­лого года ста­ло извес­тно о сли­ве исходных кодов реги­ональ­ного пор­тала госус­луг Пен­зен­ской области и в этих исходни­ках обна­ружи­лись клю­чи к сер­тифика­там, которые исполь­зуют­ся для дос­тупа к ЕСИА.

Все три дам­па содер­жали сле­дующие дан­ные:

  • ФИО;
  • email-адре­са;
  • те­лефо­ны;
  • пол;
  • да­ты рож­дения;
  • ад­реса регис­тра­ции и фак­тичес­кого мес­та житель­ства;
  • пас­порта (серия, номер, кем и ког­да выдан);
  • СНИЛС;
  • ИНН.

При этом пос­ле пер­вого же инци­ден­та пред­ста­вите­ли Мин­цифры опро­вер­гли информа­цию об утеч­ке лич­ных дан­ных поль­зовате­лей Госус­луг. В ведомс­тве ситу­ацию про­ком­менти­рова­ли так:

«Опро­вер­гаем информа­цию об утеч­ке дан­ных с Госус­луг. В сети появил­ся фраг­мент яко­бы базы дан­ных поль­зовате­лей Госус­луг, содер­жащий 5 тыс. записей. Мы про­вери­ли этот файл и выяс­нили, что в нем нет того набора парамет­ров, которые обя­затель­но при­сутс­тву­ют в стан­дар­тных учет­ных записях Госус­луг. Учет­ные дан­ные поль­зовате­лей пор­тала (логины и пароли) не были ском­про­мети­рова­ны, информа­ция надеж­но защище­на.

По дан­ным служ­бы безопас­ности, эта база отно­сит­ся к одной из внеш­них онлайн‑сис­тем, исполь­зующих упро­щен­ную иден­тифика­цию поль­зовате­лей через Госус­луги. Эта сис­тема не име­ет пря­мого дос­тупа к пол­ному набору дан­ных поль­зовате­лей».

Пос­ле пуб­ликации пер­вых трех фраг­ментов этой базы на хакер­ских форумах и в Telegram-каналах и вов­се появи­лась информа­ция о дам­пе раз­мером 2,5 мил­лиона записей. Сооб­щение про­дав­ца гла­сило, что за этой утеч­кой сто­ят «те же про­укра­инские хакеры», а 2,5 мил­лиона записей — лишь проб­ник боль­шей базы, которую зло­умыш­ленни­ки выс­тавили на про­дажу за 15 тысяч дол­ларов США.

Пред­ста­вите­ли ком­пании «Рос­телеком», которая занима­ется экс­плу­ата­цией и раз­вити­ем инфраструк­туры элек­трон­ного пра­витель­ства, вклю­чая пор­тал Госус­луг, заяви­ли, что эта утеч­ка — фейк.

«Так же как и файл, о котором были сооб­щения 11 октября 2022 года, база не содер­жит набора парамет­ров, которые обя­затель­но при­сутс­тву­ют в стан­дар­тных учет­ных записях Госус­луг. Вмес­те с тем в базе при­сутс­тву­ет ряд иден­тифика­торов, которые в Госус­лугах не содер­жатся: наиме­нова­ние информа­цион­ной сис­темы, дан­ные о ста­тусе про­вер­ки пас­порта граж­данина и ряд дру­гих. Зна­чит, эти дан­ные не мог­ли быть выг­ружены из информа­цион­ных сис­тем пор­тала», — сооб­щили в ком­пании.

Эк­спер­ты так­же отме­тили, что часть информа­ции в базе, вклю­чая дату выг­рузки, была изме­нена вруч­ную, что­бы соз­дать впе­чат­ление пос­тоян­ного дос­тупа зло­умыш­ленни­ков в сис­тему. Тог­да как реаль­ная дата утеч­ки — 24 янва­ря 2021 года.

«Резуль­таты рас­сле­дова­ния дают осно­вания для вывода, что источни­ком утеч­ки ста­ла сис­тема, в которой ука­зан­ные дан­ные собира­ются от поль­зовате­лей самос­тоятель­но. Тех­ничес­кие детали инци­ден­та 11 октября поз­воля­ют пред­положить, что это могут быть ресур­сы „Поч­ты Рос­сии“», — заяви­ли в пресс‑служ­бе «Рос­телеко­ма».

В ком­пании завери­ли, что инци­дент не зат­ронул безопас­ность дан­ных поль­зовате­лей пор­тала Госус­луг, так как их логины и пароли не были ском­про­мети­рова­ны. Кро­ме того, у подав­ляюще­го боль­шинс­тва акка­унтов из базы под­клю­чена двух­фактор­ная аутен­тифика­ция, а это «исклю­чает воз­можность взло­ма этих учет­ных записей с помощью авто­мати­чес­кого перебо­ра паролей».

50+ криптовалютных банкоматов

Ко­личес­тво крип­товалют­ных бан­коматов в Рос­сии перева­лило за 50, хотя юрис­ты отме­чают, что тер­миналы все еще находят­ся в «серой зоне» и неяс­но, как будут защище­ны пра­ва граж­дан, если воз­никнут проб­лемы. Такие машины поз­воля­ют обме­нивать налич­ные или без­налич­ные день­ги на крип­товалю­ту и наобо­рот — кон­верти­ровать крип­товалю­ты в фиат (на бан­ков­ский счет).

По дан­ным ком­пании RusBit, которая занима­ется уста­нов­кой крип­томатов, в этом году в Мос­кве появи­лось 14 новых крип­томатов, а общее количес­тво машин в РФ дос­тигло 52 штук.
Жур­налис­ты «Ком­мерсан­та» про­вели экспе­римент и при­обре­ли через крип­томат нем­ного бит­коинов. Курс покуп­ки сос­тавил 1,494 мил­лиона руб­лей, что на 10–14% пре­выша­ло курс в интернет‑обменни­ках.

 

Хакерские дроны стали реальностью

ИБ‑спе­циалист Грег Линарес (Greg Linares) сооб­щил об инте­рес­ной ата­ке, про­изо­шед­шей летом текуще­го года. Неназ­ванная финан­совая ком­пания из США обна­ружи­ла, что на кры­шу ее офи­са при­зем­лились модифи­циро­ван­ные дро­ны DJI Matrice 600 и DJI Phantom, осна­щен­ные пен­тестер­ским девай­сом WiFi Pineapple, и пытались исполь­зовать MAC-адрес одно­го из сот­рудни­ков.

О нес­тандар­тной ата­ке Линарес рас­ска­зал в Twitter, при этом отка­зав­шись сооб­щить наз­вание пос­тра­дав­шей ком­пании. Жур­налис­ты изда­ния The Register сами про­вери­ли исто­рию спе­циалис­та, свя­зав­шись с пред­ста­вите­лями ком­пании‑жер­твы, и под­твер­дили, что попыт­ка взло­ма при помощи модифи­циро­ван­ных дро­нов дей­стви­тель­но име­ла мес­то.

Ис­сле­дова­тели дав­но пре­дуп­режда­ют и стро­ят теории о хакер­ском потен­циале бес­пилот­ников. Пос­ле того как в про­даже появи­лись дос­тупные модели пот­ребитель­ских квад­рокоп­теров, эта тема не раз под­нималась на ИБ‑кон­ферен­циях, нап­ример Black Hat, как в США, так и в Евро­пе.

Кро­ме того, еще в 2013 году извес­тный иссле­дова­тель Сэми Кам­кар (Samy Kamkar) показы­вал свой дрон SkyJack, который осна­щал­ся Raspberry Pi для зах­вата дру­гих дро­нов через Wi-Fi. А в 2017 году DIY-энту­зиаст Наоми Ву (Naomi Wu) про­демонс­три­рова­ла про­ект под наз­вани­ем Screaming Fist, так­же нап­равлен­ный на соз­дание хакер­ско­го квад­рокоп­тера. Пару лет назад и мы пос­вятили зах­вату дро­нов боль­шую статью, которую ты можешь най­ти здесь.

Но теперь проб­лема перехо­дит из теорий в реаль­ность. Линарес рас­ска­зыва­ет, что все началось с того, что ком­пания‑жер­тва обна­ружи­ла на внут­ренней стра­нице Atlassian Confluence необыч­ную активность, которая исхо­дила из сети ком­пании.

Служ­ба безопас­ности отре­аги­рова­ла быс­тро и выяс­нила, что сот­рудник, MAC-адрес которо­го исполь­зовал­ся для час­тично­го дос­тупа к Wi-Fi-сети ком­пании, так­же вошел в сис­тему дома за мно­го километ­ров от офи­са. То есть поль­зователь был акти­вен за пре­дела­ми офи­са, но кто‑то, находив­ший­ся в ради­усе дей­ствия Wi-Fi-сети зда­ния, пытал­ся исполь­зовать его MAC-адрес.
Тог­да коман­да поп­робова­ла отсле­дить Wi-Fi-сиг­нал, исполь­зовав для иден­тифика­ции устрой­ства сис­тему Fluke. Это при­вело защит­ников на кры­шу зда­ния, где они обна­ружи­ли дро­ны DJI Matrice 600 и DJI Phantom.

По сло­вам Линаре­са, Phantom был в отличном сос­тоянии и имел на бор­ту модифи­циро­ван­ное пен­тестер­ское устрой­ство WiFi Pineapple. Дрон Matrice и вов­се при­нес кейс, в котором находи­лись Raspberry Pi, нес­коль­ко акку­муля­торов, мини‑ноут­бук GPD, 4G-модем и еще один Wi-Fi-девайс. Этот бес­пилот­ник при­зем­лился рядом с сис­темой отоп­ления и вен­тиляции зда­ния и выг­лядел пов­режден­ным, хотя тоже работал.

«В ходе рас­сле­дова­ния было уста­нов­лено, что изна­чаль­но дрон DJI Phantom исполь­зовал­ся за нес­коль­ко дней до этой ата­ки для перех­вата учет­ных дан­ных и Wi-Fi сот­рудни­ка. Эти дан­ные поз­же жес­тко зап­рограм­мирова­ли в инс­тру­мен­ты, которые были раз­верну­ты с помощью Matrice», — объ­ясня­ет Линарес.

По сло­вам экспер­та, инс­тру­мен­ты на дро­нах исполь­зовались для при­цель­ной ата­ки на внут­реннюю стра­ницу Confluence ком­пании, в попыт­ке получить дос­туп к дру­гим внут­ренним устрой­ствам и хра­нящим­ся там учет­ным дан­ным.

«Зло­умыш­ленни­ки спе­циаль­но нацели­вают­ся на сети с огра­ничен­ным дос­тупом, которые исполь­зуют­ся как треть­ими сто­рона­ми, так и внут­ри ком­пании и которые пло­хо защище­ны из‑за каких‑то недав­них изме­нений в ком­пании (нап­ример, рес­трук­туриза­ция/реб­рендинг, пере­езд в новое зда­ние, новые нас­трой­ки сети или сочета­ние этих сце­нари­ев), — рас­ска­зыва­ет спе­циалист. — По этой при­чине вре­мен­ная сеть, к сожале­нию, име­ла огра­ничен­ный дос­туп для вхо­да в сис­тему (учет­ные дан­ные + MAC). Зло­умыш­ленни­ки исполь­зовали ата­ку для дос­тупа к внут­ренне­му сер­веру Confluence, который содер­жал дру­гие учет­ные дан­ные для дос­тупа к дру­гим ресур­сам».

Ана­литик счи­тает, что зло­умыш­ленни­ки хорошо под­готови­лись к ата­ке: нес­коль­ко недель пот­ратили на раз­ведку, находи­лись непода­леку от целевой сре­ды, име­ли неп­лохой бюд­жет и зна­ли, с какими огра­ниче­ниями по час­ти физичес­кой безопас­ности им при­дет­ся стол­кнуть­ся.

Ли­нарес подыто­жива­ет, что эта ата­ка име­ла «огра­ничен­ный успех», но ста­ла уже треть­ей кибера­такой с учас­тием дро­на, которую лич­но он видел за пос­ледние два года.

«Сей­час, в 2022 году, мы наб­люда­ем по‑нас­тояще­му уди­витель­ные дос­тижения дро­нов в областях мощ­ности, даль­нос­ти и воз­можнос­тей (нап­ример, уди­витель­ные шоу син­хро­низи­рован­ных бес­пилот­ников в Китае, они прос­то фан­тасти­чес­кие).

Вмес­те с тем вари­анты полез­ных наг­рузок для дро­нов ста­новят­ся все мень­ше и эффектив­нее (нап­ример, Flipper Zero), и это соз­дает жиз­неспо­соб­ные модели атак, которые целесо­образно при­менять в реаль­нос­ти. Ком­пании, работа­ющие в областях фин­теха, крип­ты и цепоч­ки пос­тавок, а так­же важ­ные пос­тавщи­ки прог­рам­мно­го обес­печения могут стать иде­аль­ными целями для таких атак, где зло­умыш­ленник может лег­ко пок­рыть свои экс­плу­ата­цион­ные рас­ходы за счет немед­ленной финан­совой выгоды или дос­тупа к более пер­спек­тивным целям», — резюми­рует эксперт.

Дуров против WhatsApp

В сен­тябре текуще­го года в WhatsApp обна­ружи­ли и испра­вили сра­зу две кри­тичес­кие RCE-уяз­вимос­ти. Пос­ле это­го Павел Дуров пос­вятил мес­сен­дже­ру отдель­ный пост в сво­ем Telegram-канале и напом­нил, что это далеко не пер­вая проб­лема с безопас­ностью в WhatsApp, заявив, что сам отка­зал­ся от его исполь­зования мно­го лет назад.

«Каж­дый год мы узна­ем о какой‑то проб­леме в WhatsApp, которая ста­вит под угро­зу все, что находит­ся на устрой­ствах поль­зовате­лей. Это зна­чит, что там поч­ти навер­няка уже сущес­тву­ет новая уяз­вимость. Такие проб­лемы вряд ли мож­но наз­вать слу­чай­ными — это (спе­циаль­но) заложен­ные бэк­доры. Если один бэк­дор обна­ружен и его нуж­но уда­лить, на его мес­то добав­ляет­ся дру­гой.

Вот почему я уда­лил WhatsApp со сво­их устрой­ств мно­го лет назад. Уста­нов­ленное при­ложе­ние соз­дает дверь для про­ник­новения в ваш телефон.

Я не при­зываю людей перехо­дить на Telegram. С 700+ млн активных поль­зовате­лей и 2+ млн ежед­невных под­писчи­ков Telegram не нуж­дает­ся в допол­нитель­ной рек­ламе. Вы можете исполь­зовать любое при­ложе­ние для обме­на сооб­щени­ями, которое вам нра­вит­ся, но дер­житесь подаль­ше от WhatsApp, уже 13 лет он слу­жит инс­тру­мен­том для слеж­ки»,

 — пишет осно­ватель Telegram.

 

Краудсорсинговый DDoS

Эк­спер­ты ком­пании Radware обна­ружи­ли кра­удсорсин­говый DDoS-про­ект DDOSIA, в рам­ках которо­го рус­ско­языч­ная хак‑груп­па пла­тит доб­роволь­цам за учас­тие в ата­ках на запад­ные орга­низа­ции.

Ис­сле­дова­тели отме­чают, что DDoS-ата­ки дав­но ста­ли мощ­ным ору­жием в руках хак­тивис­тов самых раз­ных стран, ведь такие ата­ки лег­ко орга­низо­вать и осу­щес­твить, а ущерб, нанесен­ный перебо­ями в работе ком­паний и орга­низа­ций, может вес­ти как к финан­совым потерям, так и к более серь­езным пос­ледс­тви­ям. Одна­ко обыч­но доб­роволь­цы, учас­тву­ющие в DDoS-ата­ках, не получа­ют воз­награж­дений за свою «работу», поэто­му обна­руже­ние про­екта DDOSIA — событие доволь­но неор­динар­ное.

По дан­ным Radware, про­ект был запущен в августе 2022 года груп­пиров­кой NoName057(16), которая появи­лась в мар­те текуще­го года.

Впер­вые эта хак‑груп­па упо­мина­лась в сен­тябрь­ском отче­те ком­пании Avast, где опи­сывал­ся модуль для DDoS-атак, заг­ружа­емый тро­яном уда­лен­ного дос­тупа Bobik (эта мал­варь извес­тна с 2020 года и рас­простра­няет­ся сти­лером RedLine). Экспер­ты Avast наб­людали за NoName057(16) три месяца, с июня по сен­тябрь текуще­го года, и приш­ли к выводу, что груп­пиров­ка про­водит DDoS-ата­ки про­тив укра­инских орга­низа­ций, хотя успешны толь­ко око­ло 40% из них.

Как теперь рас­ска­зали ана­лити­ки Radware, срав­нитель­но недав­но груп­пиров­ка запус­тила в Telegram про­ект DDOSIA, где опе­рато­ры раз­мести­ли ссыл­ку на GitHub с инс­трук­циями для потен­циаль­ных «волон­теров». На сегод­няшний день основной Telegram-канал груп­пиров­ки нас­читыва­ет более 13 тысяч под­писчи­ков.

По сло­вам иссле­дова­телей, порой DDOSIA ата­куют те же цели, которые уста­нав­лива­ет про­рос­сий­ская хак‑груп­па KillNet. В час­тнос­ти, они при­нима­ли учас­тие в недав­ней мас­штаб­ной DDoS-ата­ке на круп­ные аэро­пор­ты в США.

Доб­роволь­цы DDOSIA регис­три­руют­ся через Telegram, что­бы получить ZIP-архив с мал­варью (dosia.exe), которая содер­жит уни­каль­ный ID для каж­дого поль­зовате­ля. Самая инте­рес­ная осо­бен­ность это­го про­екта — учас­тни­ки могут свя­зать свой ID с крип­товалют­ным кошель­ком и получать день­ги за учас­тие в DDoS-ата­ках. При­чем опла­та про­пор­циональ­на мощ­ностям, которые пре­дос­тавля­ет кон­крет­ный учас­тник.

Луч­шие учас­тни­ки каж­дой вол­ны атак получа­ют: за пер­вое мес­то — 80 тысяч руб­лей (при­мер­но 1255 дол­ларов США), за вто­рое мес­то — 50 тысяч руб­лей (при­мер­но 785 дол­ларов США), а за третье мес­то — 20 тысяч руб­лей (при­мер­но 315 дол­ларов США). К тому же во вре­мя атак на аме­рикан­ские аэро­пор­ты опе­рато­ры DDOSIA объ­яви­ли, что рас­пре­делят допол­нитель­ные вып­латы сре­ди топ-10 учас­тни­ков.

Эк­спер­ты резюми­руют, что в нас­тоящее вре­мя DDOSIA нас­читыва­ет око­ло 400 учас­тни­ков и оста­ется полузак­рытой груп­пой, дос­тупной толь­ко по приг­лашени­ям, которая регуляр­но ата­кует боль­ше 60 воен­ных и обра­зова­тель­ных орга­низа­ций.

При этом в Radware выража­ют обес­поко­енность тем, что финан­совый сти­мул поз­волит NoName057(16) прив­лечь к DDoS-ата­кам мас­су доб­роволь­цев и может задать тренд для дру­гих DDoS-груп­пировок.
Ин­терес­но, что пос­ле выхода нашей пуб­ликации, пос­вящен­ной DDOSIA, в Telegram-канале NoName057(16) появи­лось сооб­щение, в котором учас­тни­ки груп­пиров­ки под­черки­вают, что не сот­рудни­чают с KillNet.

«Мы работа­ем незави­симо и не име­ем никако­го отно­шения к хак‑груп­пе KillNet. Свои цели для DDoS-атак мы выбира­ем сами», — заяви­ли хакеры.

43% устройств не соответствуют требованиям Windows 11

По информа­ции ана­лити­ков ком­пании Lansweeper, стро­гим сис­темным тре­бова­ниям Windows 11 не соот­ветс­тву­ют око­ло 42,7% рабочих стан­ций в круп­ных пред­при­ятиях. Дело в том, что новая ОС сов­мести­ма далеко не со все­ми про­цес­сорами, а так­же тре­бует обя­затель­ного наличия TMP (Trusted Platform Module) и под­дер­жки Secure Boot. Эти тре­бова­ния мож­но обой­ти с помощью уста­нов­ки «вруч­ную», но потом для таких сис­тем не гаран­тиру­ются обновле­ния.

В Lansweeper приш­ли к выводу, что при­мер­но из 30 000 000 устрой­ств, работа­ющих под управле­нием Windows в 60 000 орга­низа­ций, в сред­нем толь­ко 57,26% рабочих стан­ций смо­гут авто­мати­чес­ки обно­вить­ся до Windows 11.

Толь­ко 57,26% про­тес­тирован­ных про­цес­соров для рабочих стан­ций соот­ветс­тво­вали сис­темным тре­бова­ниям Windows 11. При этом боль­шинс­тво машин про­ходят по объ­ему опе­ратив­ной памяти (92,85%), но с TPM все в поряд­ке толь­ко в 65% слу­чаев.

Ху­же того, тест на TPM про­ходят толь­ко 2,35% физичес­ких сер­веров, то есть не удас­тся обно­вить 97% из них, если Microsoft в будущем соз­даст сер­верную ОС с ана­логич­ными тре­бова­ниями.

Так­же проб­лема с TMP име­ется у боль­шинс­тва вир­туаль­ных сер­веров и рабочих стан­ций (98,62% и 99,87% соот­ветс­твен­но).

При этом, по срав­нению с 2021 годом, у Microsoft про­цент устрой­ств, отве­чающих тре­бова­ниям для ЦП и TPM, уве­личил­ся на 12%. Иссле­дова­тели прог­нозиру­ют, что, если рост про­дол­жится, теоре­тичес­ки боль­шинс­тво устрой­ств будут сов­мести­мы с Windows 11 к 2026 году.

 

Утечка документации и BIOS для процессоров Alder Lake

Ком­пания Intel под­твер­дила слу­хи об утеч­ке докумен­тации и исходно­го кода UEFI BIOS для про­цес­соров Alder Lake (кодовое наз­вание про­цес­соров Intel 12-го поколе­ния, которые выпус­кают­ся с нояб­ря 2021 года).

Ссыл­ки на исходный код UEFI для Intel Alder Lake опуб­ликовал поль­зователь Twitter под ником Freak, и, по его утвер­жде­нию, утеч­ка кор­нями ухо­дит на 4chan. Эта ссыл­ка вела на репози­торий GitHub с наз­вани­ем ICE_TEA_BIOS, который был заг­ружен поль­зовате­лем LCFCASD. Репози­торий содер­жал неч­то, опи­сан­ное как «Код BIOS из про­екта C970».

В общей слож­ности дамп содер­жит 5,97 Гбайт дан­ных, вклю­чая исходный код, при­ват­ные клю­чи, жур­налы изме­нений и инс­тру­мен­ты ком­пиляции. При­чем некото­рые фай­лы датиро­ваны 30 сен­тября 2022 года, то есть, веро­ятно, имен­но в кон­це прош­лого месяца хакер или инсай­дер слил дан­ные.

Как сооб­щили СМИ, весь утек­ший исходный код соз­дан ком­пани­ей — раз­работ­чиком про­шивок для UEFI Insyde Software Corp. Кро­ме того, утеч­ка содер­жит мно­гочис­ленные отсылки к ком­пании Lenovo, в том чис­ле код для интегра­ции с Lenovo String Service, Lenovo Secure Suite и Lenovo Cloud Service. При этом в Lenovo и Insyde Software Corp никак не про­ком­менти­рова­ли ситу­ацию.
За­то ком­пания Intel была вынуж­дена под­твер­дить жур­налис­там изда­ния Tom’s Hardware, что утеч­ка под­линна и это дей­стви­тель­но «проп­риетар­ный код UEFI».

«Похоже, наш проп­риетар­ный код UEFI был похищен треть­ей сто­роной. Мы не счи­таем, что это выяв­ляет какие‑то новые проб­лемы безопас­ности, пос­коль­ку мы не полага­емся на обфуска­цию информа­ции в качес­тве меры защиты. Этот код учас­тву­ет в нашей прог­рамме bug bounty, в рам­ках Project Circuit Breaker, и мы при­зыва­ем всех иссле­дова­телей, которые смо­гут обна­ружить потен­циаль­ные уяз­вимос­ти, обра­тить на них наше вни­мание через эту прог­рамму», — заяви­ли пред­ста­вите­ли Intel.

К сожале­нию, нев­зирая на эти завере­ния Intel, ИБ‑экспер­ты счи­тают, что утеч­ка исходно­го кода все же может пред­став­лять угро­зу и, как минимум, упростит поиск уяз­вимос­тей в коде.

«Ата­кующий/баг­хантер может извлечь огромную выгоду из таких уте­чек, даже если это утеч­ка OEM-импле­мен­тации, которая лишь час­тично исполь­зует­ся в про­изводс­тве», — пишут спе­циалис­ты ком­пании Hardened Vault, занима­ющей­ся безопас­ностью обо­рудо­вания.

Эк­сперт Positive Technologies Марк Ермо­лов и вов­се обна­ружил, что дамп содер­жит при­ват­ный ключ шиф­рования KeyManifest, исполь­зуемый для защиты плат­формы Intel Boot Guard. Хотя пока неяс­но, исполь­зовал­ся ли этот ключ в про­изводс­тве, в теории зло­умыш­ленни­ки могут задей­ство­вать его для изме­нения полити­ки заг­рузки в про­шив­ке Intel и обхо­да аппа­рат­ной безопас­ности.

В 18 раз выросла выручка от майнинга

Сог­ласно отче­ту ком­пании Intelion Data Systems, с 2017 по 2021 год выруч­ка от май­нин­га бит­коина в Рос­сии вырос­ла в 18 раз: за четыре года этот показа­тель уве­личил­ся с 7 мил­лиар­дов руб­лей в 2017 году до 128 мил­лиар­дов руб­лей в 2021 году.

Од­нако в 2022 году сум­марная выруч­ка от добычи бит­коина в РФ сни­зилась и за восемь месяцев сос­тавила чуть боль­ше 57 мил­лиар­дов руб­лей. Учи­тывая, что вто­рой квар­тал 2022 года экспер­ты называ­ют худ­шим за один­надцать лет наб­людений, а хеш­рейт BTC, пос­тупа­ющий с тер­ритории Рос­сии, сок­раща­ется, годовой показа­тель может сос­тавить при­мер­но 85,59 мил­лиар­да руб­лей.

Ин­терес­но, что в нас­тоящее вре­мя май­неры в Рос­сии рас­ходу­ют столь­ко же элек­три­чес­тва, сколь­ко и сель­ское хозяй­ство.

 

Кардеры раздают карты даром

Кар­дер­ский дар­кнет‑ресурс BidenCash сно­ва устро­ил гром­кую «рек­ламную акцию». Адми­нис­тра­ция сай­та бес­плат­но опуб­ликова­ла огромный дамп, содер­жащий информа­цию о 1 221 551 бан­ков­ской кар­те, поз­воляя любому жела­юще­му заг­рузить эти дан­ные.

Сайт BidenCash был запущен вес­ной 2022 года и поч­ти сра­зу заявил о себе ана­логич­ной акци­ей: тог­да опе­рато­ры BidenCash решили бес­плат­но раз­дать всем жела­ющим CSV-файл, содер­жащий име­на, адре­са, номера телефо­нов, адре­са элек­трон­ной поч­ты и номера бан­ков­ских карт, и таким обра­зом про­рек­ламиро­вать свою плат­форму. Вес­ной ИБ‑спе­циалис­ты сооб­щали, что в дам­пе мож­но най­ти дан­ные при­мер­но 6600 бан­ков­ских карт и око­ло 1300 из них — это новые и дей­стви­тель­ные кар­ты.

Те­перь кар­деры начали новую, более мас­штаб­ную акцию, судя по все­му приз­ванную про­рек­ламиро­вать новые URL-адре­са пло­щад­ки, запущен­ные пос­ле мощ­ных DDoS-атак, которым BidenCash под­вергал­ся в прош­лом месяце.

Что­бы обес­печить более широкий охват, мошен­ники рек­ламиру­ют новый бес­плат­ный дамп с кар­тами даже в откры­том интерне­те и на дру­гих хакер­ских и кар­дер­ских форумах. По дан­ным иссле­дова­телей из ком­пании Cyble, сум­марно новый дамп содер­жит информа­цию о 1,2 мил­лиона карт со все­го мира, со сро­ком дей­ствия меж­ду 2023 и 2026 годами. В основном они при­над­лежат поль­зовате­лям из США.
Для боль­шинс­тва карт дос­тупны сле­дующие типы дан­ных:

  • но­мер кар­ты;
  • срок дей­ствия;
  • CVV-номер;
  • имя вла­дель­ца;
  • наз­вание бан­ка;
  • тип кар­ты, ста­тус и класс;
  • ад­рес вла­дель­ца (штат и поч­товый индекс);
  • ад­рес элек­трон­ной поч­ты;
  • но­мер соци­аль­ного стра­хова­ния;
  • но­мер телефо­на.

Ана­лити­ки счи­тают, что в основном дан­ные о кар­тах были получе­ны с помощью веб‑ским­меров — вре­донос­ных скрип­тов, которые хакеры внед­ряют на стра­ницы офор­мле­ния заказов в интернет‑магази­нах. Такие скрип­ты вору­ют информа­цию о бан­ков­ских кар­тах и про­чие дан­ные поль­зовате­лей.

Так как в дар­кне­те дам­пы такого раз­мера обыч­но ока­зыва­ются фаль­шив­ками (пря­мыми под­делка­ми или ста­рыми дам­пами, которые пере­упа­кова­ны под новым име­нем), жур­налис­ты изда­ния Bleeping Computer вни­матель­но изу­чили этот слив вмес­те с ана­лити­ками из ИБ‑ком­пании D3Lab.

К сожале­нию, в ито­ге иссле­дова­тели под­твер­дили, что дан­ные из нес­коль­ких италь­янских бан­ков реаль­ны, а утек­шие записи соот­ветс­тву­ют нас­тоящим кар­там и их вла­дель­цам. Тем не менее боль­шая часть дам­па все же ока­залась перера­бота­на и сос­тавле­на из дру­гих уте­чек, нап­ример из ста­рого дам­па мар­кет­плей­са All World Cards, который ранее тоже бес­плат­но раз­давал кар­ты всем жела­ющим.

Су­дя по изу­чен­ной экспер­тами D3Labs выбор­ке, око­ло 30% карт ока­зались «све­жими». Если экс­тра­поли­ровать этот резуль­тат на весь дамп, поряд­ка 350 тысяч карт, рас­простра­няемых зло­умыш­ленни­ками, могут ока­зать­ся дей­стви­тель­ными. При этом иссле­дова­тели говорят, что при­мер­но 50% италь­янских карт уже могут быть заб­локиро­ваны, пос­коль­ку бан­ки‑эми­тен­ты обна­ружи­ли мошен­ничес­кую активность. Это озна­чает, что пред­став­лять цен­ность для хакеров может лишь око­ло 10% этой утеч­ки.

Бойся пылесоса, %username%

Сер­гей Бело­усов, осно­ватель таких ком­паний, как Acronis и Parallels, сооб­щил жур­налис­там, что, по его мне­нию, любые умные девай­сы пред­став­ляют угро­зу для безопас­ности и кон­фиден­циаль­нос­ти поль­зовате­лей, но те даже не соз­нают это­го.
Пред­при­нима­тель, инвестор и спе­циалист объ­яснил, что даже сов­ремен­ный пылесос, веро­ятно, под­клю­чен к интерне­ту, име­ет камеру, мик­рофон и кар­ту всей квар­тиры поль­зовате­ля. Таким обра­зом, пылесос собира­ет все дан­ные яко­бы для удобс­тва вла­дель­ца, но нет никако­го спо­соба узнать, как имен­но эти дан­ные исполь­зуют­ся и на что в ито­ге могут сго­дить­ся. По его сло­вам, люди вооб­ще не задумы­вают­ся о рис­ках, которые соп­ряжены с исполь­зовани­ем мно­гочис­ленных умных устрой­ств, и те вну­шают поль­зовате­лям лож­ное чувс­тво безопас­ности.

«Вам сто­ит боять­ся сво­его пылесо­са, ведь он, ско­рее все­го, сде­лан в Китае. Вы необя­затель­но задумы­ваетесь об этом, но это зна­читель­ный потен­циаль­ный риск для безопас­ности и кон­фиден­циаль­нос­ти»,

— заявил Бело­усов.

 

Новый UEFI-буткит Black Lotus

ИБ‑экспер­ты обра­тили вни­мание, что на хакер­ских форумах рек­ламиру­ется UEFI-бут­кит под наз­вани­ем Black Lotus. Его про­давец утвер­жда­ет, что Black Lotus име­ет встро­енный обход Secure Boot, встро­енную защиту от уда­ления на уров­не ring 0 / ядра, а так­же запус­кает­ся в режиме вос­ста­нов­ления и в безопас­ном режиме.

Спе­циалис­ты напоми­нают, что UEFI-бут­киты внед­ряют­ся в про­шив­ку и поэто­му «невиди­мы» для защит­ных про­дук­тов, работа­ющих в опе­раци­онной сис­теме, ведь такая мал­варь заг­ружа­ется на самом началь­ном эта­пе.

ИБ‑спе­циалист Скотт Шефер­ман (Scott Scheferman), одним из пер­вых обра­тив­ший вни­мание на это объ­явле­ние, сооб­щил, что Black Lotus име­ет раз­мер 80 Кбайт, написан на ассем­бле­ре и C и уме­ет опре­делять геозо­ну жер­твы, что­бы избе­гать зараже­ния машин в стра­нах СНГ.
Вре­донос пред­лага­ется к про­даже за 5000 дол­ларов США, а каж­дая новая вер­сия будет сто­ить еще 200 дол­ларов США.

Про­давец утвер­жда­ет, что мал­варь осна­щена анти­вир­туали­зацей, анти­отладкой и обфуска­цией, что усложня­ет ее обна­руже­ние и ана­лиз. Так­же, сог­ласно его заяв­лени­ям, защит­ное ПО не смо­жет обна­ружить и унич­тожить бут­кит, так как тот запус­кает­ся под учет­ной записью SYSTEM внут­ри легитим­ного про­цес­са.

По­мимо это­го, Black Lotus яко­бы спо­собен отклю­чать защит­ные механиз­мы на целевых машинах, в том чис­ле Hypervisor-Protected Code Integrity (HVCI) и Windows Defender, а так­же обхо­дить User Account Control (UAC).

«Само ПО и обход Secure Boot работа­ют незави­симо от пос­тавщи­ка. Если [на целевой машине] исполь­зует­ся Secure Boot, для заг­рузки бут­кита при­меня­ется уяз­вимый под­писан­ный заг­рузчик, — пояс­няет про­давец. — Испра­вить эту уяз­вимость в нас­тоящее вре­мя невоз­можно, пос­коль­ку она зат­рагива­ет сот­ни заг­рузчи­ков, которые исполь­зуют­ся в нас­тоящее вре­мя».

Сто­ит ска­зать, что о Black Lotus уже извес­тно и «Лабора­тории Кас­пер­ско­го». Так, в недав­нем интервью изда­нию The Register спе­циалист ком­пании Сер­гей Лож­кин пре­дуп­реждал, что воз­можнос­ти, опи­сан­ные в рек­ламе бут­кита, обыч­но дос­тупны толь­ко серь­езным груп­пам «пра­витель­ствен­ных» хакеров, которые име­ют соот­ветс­тву­ющее финан­сирова­ние и под­готов­ку.

Лож­кин приз­нает­ся, что, уви­дев рек­ламу Black Lotus на одном из хак‑форумов, он сра­зу захотел заполу­чить его, пос­коль­ку такую мал­варь прос­то необ­ходимо отре­вер­сить и немед­ленно пре­дуп­редить о ней кли­ентов.

Скотт Шефер­ман сог­ласен с тем, что дос­тупность Black Lotus — это край­не опас­ная тен­денция, одна­ко эксперт пишет, что к рек­ламе все же сто­ит отно­сить­ся с долей скеп­сиса.

«Сле­дует отме­тить, что до тех пор, пока мы или кто‑то дру­гой не получим обра­зец этой вре­донос­ной прог­раммы и не запус­тим ее на лабора­тор­ной машине, всег­да есть веро­ятность, что она еще не готова для демонс­тра­ции, а некото­рые аспекты фун­кций не работа­ют дол­жным обра­зом. Сущес­тву­ет даже веро­ятность того, что все это мошен­ничес­тво», — говорит Шефер­ман.

NFT за пару баксов

Ин­терес к NFT (non-fungible token, «нев­заимо­заме­няемый токен») замет­но осла­бева­ет, а вмес­те с ним сни­жает­ся и сто­имость NFT, которая еще недав­но шокиро­вала пуб­лику в заголов­ках СМИ. К при­меру, один из самых извес­тных NFT — пер­вый твит осно­вате­ля Twitter Дже­ка Дор­си, потерял более 99% сво­ей цены. Сина Эста­ви (Sina Estavi), вес­ной 2021 года при­обревший NFT за 2 900 000 дол­ларов, попытал­ся про­дать его за 48 000 000, но получил лишь пару пред­ложений в 280 дол­ларов и 96 дол­ларов.

За дру­гой широко извес­тный токен из кол­лекции Azuki (K4M-1 # 03), который в прош­лом году за 623 000 дол­ларов при­обрел извес­тный юту­бер Логан Пол, теперь дают лишь 10 дол­ларов. Дру­гие токены Пола (№ 65 и № 68) из кол­лекции Genesis Rocks, сто­ившие ему 1 550 000 дол­ларов, подеше­вели до 25 дол­ларов.

 

11 Тбайт старых дискет и CD

Ар­хивист Internet Archive Джей­сон Скотт (Jason Scott) объ­явил о запус­ке про­екта Discmaster, за соз­дани­ем которо­го сто­ит груп­па ано­ним­ных прог­раммис­тов, занима­ющаяся «циф­ровой архе­оло­гией». Discmaster поз­воля­ет любому жела­юще­му искать сре­ди 92 мил­лионов ста­рых фай­лов (более 11 Тбайт информа­ции), извле­чен­ных с CD и дис­кет 1980, 1990 и 2000-х годов.

Скотт рас­ска­зыва­ет, что некото­рое вре­мя назад с ним свя­залась груп­па энту­зиас­тов, которая работа­ла над соз­дани­ем Discmaster более 18 месяцев и лишь пос­ле это­го все же решила обра­тить­ся за помощью. По сло­вам архи­вис­та, он был прос­то пот­рясен, ког­да озна­комил­ся с их работой, и сам поч­ти не име­ет отно­шения к соз­данию Discmaster. Фак­тичес­ки Скотт лишь дал про­екту наз­вание и раз­местил его на сво­ем сай­те.

Все фай­лы, объ­еди­нен­ные Discmaster, были взя­ты из Internet Archive, куда их мно­гие годы пос­тепен­но заг­ружали тысячи людей. До недав­него вре­мени глав­ная проб­лема зак­лючалась в том, что люди мог­ли делить­ся с Internet Archive чем угод­но: музыкой, тек­сто­выми докумен­тами, древ­ними мемами, ста­рыми флеш‑ани­маци­ями и так далее. Но единс­твен­ным спо­собом выяс­нить, какие имен­но дан­ные содер­жались на ста­рых дис­кетах и ком­пакт‑дис­ках, была их заг­рузка, пос­ле которой, по сло­вам Скот­та, оста­валось лишь молить­ся, что­бы наш­лось под­ходящее ПО для рен­дерин­га этой информа­ции в понят­ный кон­тент.

Ав­торы Discmaster про­дела­ли гигант­скую работу и реали­зова­ли пре­обра­зова­ние боль­шинс­тва фор­матов фай­лов на бэкен­де. Нап­ример, мож­но искать ста­рую музыку в MIDI или даже оциф­рован­ные зву­ки Amiga и слу­шать их пря­мо в бра­узе­ре без каких‑либо допол­нитель­ных инс­тру­мен­тов. То же самое каса­ется виде­офай­лов с низ­ким раз­решени­ем, изоб­ражений в экзо­тичес­ких для нынеш­него вре­мени фор­матах и раз­личных типов докумен­тов.

То есть любые ста­рые фор­маты фай­лов дос­тупны для прос­мотра пря­мо в бра­узе­ре (как в сов­ремен­ном, так и в уста­рев­шем). Скотт говорит, что кто‑либо на ста­ром Commodore 64 смо­жет без проб­лем исполь­зовать Discmaster, рав­но как и любой поль­зователь с новей­шей вер­сией Chrome.

На текущий момент Discmaster содер­жит информа­цию более чем с 7800 ком­пакт‑дис­ков и дис­кет и нас­читыва­ет более 113 мил­лионов фай­лов. Сайт объ­еди­нил все это через поис­ковую сис­тему с воз­можностью выпол­нять поиск по типу фай­ла, фор­мату, источни­ку, раз­меру фай­ла, дате и мно­гим дру­гим парамет­рам.

«Навер­ное, для меня это один из самых важ­ных про­ектов по иссле­дова­нию компь­ютер­ной исто­рии за пос­ледние десять лет, — говорит Скотт. — Пока он не закон­чен. Они [соз­датели Discmaster] про­ана­лизи­рова­ли уже более 7000 ком­пакт‑дис­ков и собира­ются обра­ботать еще 8000. Это будет бес­конеч­ный источник информа­ции и самая круп­ная задача, над которой я буду работать в текущем году».

Скотт рас­ска­зыва­ет, что Discmaster импо­ниру­ет ему по мно­гим при­чинам, но глав­ная из них зак­люча­ется в том, что это серь­езный удар по скеп­тикам, которые час­то заяв­ляют, что ник­то и никог­да не будет прос­матри­вать все матери­алы Internet Archive, так как к ним слиш­ком слож­но получить дос­туп. Теперь есть инс­тру­мент, который сор­тиру­ет и упо­рядо­чива­ет дан­ные и дела­ет их дос­тупны­ми для широкой ауди­тории.

Эк­сперт зак­люча­ет, что Discmaster — это неверо­ятный инс­тру­мент для архи­вис­тов, исто­риков, любопытс­тву­ющих и людей, которые пыта­ются отыс­кать полуза­бытые меди­афай­лы или работы, счи­тав­шиеся уте­рян­ными. Под ори­гиналь­ным тви­том Скот­та поль­зовате­ли охот­но делились сво­ими наход­ками такого рода и рас­ска­зыва­ли о том, как отыс­кали дав­но утра­чен­ные рас­тро­вые шриф­ты, ред­кие фай­лы BBS и даже собс­твен­ные прог­раммы, которые были написа­ны боль­ше двад­цати лет назад.

Bug bounty в России

В Positive Technologies про­ана­лизи­рова­ли круп­ные и активные плат­формы bug bounty по все­му миру. Наибо­лее вос­тре­бован­ными плат­формы ока­зались у IT-ком­паний (16%), онлайн‑сер­висов (14%), сфе­ры услуг (13%) и тор­говли (11%), финан­совых орга­низа­ций (9%).

Отраслевое распределение участников платформ bug bounty
От­расле­вое рас­пре­деле­ние учас­тни­ков плат­форм bug bounty

Ми­ровой тренд в целом кор­релиру­ет с рос­сий­ским. Основная мас­са заказ­чиков рос­сий­ских прог­рамм bug bounty пред­став­лена час­тным биз­несом, обслу­жива­ющим боль­шое количес­тво кли­ентов: бан­ками, он­лайн‑сер­висами, элек­трон­ной ком­мерци­ей, раз­работ­чиками IT-про­дук­тов. Глав­ным драй­вером раз­вития bug bounty в Рос­сии могут стать гос­сектор и ор­ганиза­ции кри­тичес­кой инфраструк­туры.

В 2021 году количес­тво прог­рамм bug bounty, по дан­ным HackerOne, уве­личи­лось на 34%, а иссле­дова­тели выяви­ли на 21% боль­ше уяз­вимос­тей. К 2027 году рынок bug bounty может вырас­ти до 5,5 мил­лиар­да дол­ларов.

В 2020 году Рос­сия вош­ла в трой­ку стран с самым высоким уров­нем дохода баг­ханте­ров, обог­нав Ки­тай и Гер­манию.

Средняя сумма вознаграждения в зависимости от опасности уязвимости
Сред­няя сум­ма воз­награж­дения в зависи­мос­ти от опас­ности уяз­вимос­ти

В раз­ное вре­мя поряд­ка 40 ком­паний запус­кали откры­тые прог­раммы bug bounty в РФ. В стра­не дей­ству­ют три основные плат­формы: Bugbounty.ru, Standoff 365 Bug Bounty и BI.ZONE Bug Bounty.

При этом по­лови­на прог­рамм bug bounty в Рос­сии зак­рытые, то есть количес­тво иссле­дова­телей в них огра­ниче­но и заранее ого­воре­но.

Распределение платформ bug bounty в мире в зависимости от проводимых программ
Рас­пре­деле­ние плат­форм bug bounty в мире в зависи­мос­ти от про­води­мых прог­рамм

Рос­сий­ские ком­пании готовы пла­тить иссле­дова­телям от нес­коль­ких де­сят­ков до сотен тысяч руб­лей за най­ден­ную уяз­вимость. В отдель­ных слу­чаях вып­латы дос­тига­ют 1 000 000 руб­лей и более.

В Positive Technologies ожи­дают бур­ного рос­та рос­сий­ских прог­рамм bug bounty в бли­жай­шее вре­мя. Дело в уве­личе­нии количес­тва и слож­ности киберуг­роз, не­дос­тупнос­ти в Рос­сии мно­гих мировых сер­висов, а так­же рас­ширении спек­тра орга­низа­ций, при­бега­ющих к bug bounty: уме­ния баг­ханте­ров ста­ли исполь­зовать не­боль­шие ком­пании и го­сударс­твен­ные учрежде­ния.

 

Баг в ядре Linux портит дисплеи

Ста­биль­ная вер­сия ядра Linux (5.19.12), релиз которой сос­тоял­ся 28 сен­тября 2022 года, может негатив­но вли­ять на дис­плеи ноут­буков с Intel GPU на бор­ту. Поль­зовате­ли сооб­щают, что наб­люда­ют стран­ные белые вспыш­ки, а раз­работ­чики пре­дуп­режда­ют, что сущес­тву­ет веро­ятность необ­ратимо­го пов­режде­ния экра­на.

На стран­ное поведе­ние сво­их устрой­ств жалу­ются мно­гие поль­зовате­ли, вклю­чая вла­дель­цев ноут­буков Framework, которые сооб­щают о проб­лемах с Arch и Fedora пос­ле обновле­ния ядра Linux до вер­сии 5.19.2. Экра­ны их устрой­ств мер­цают ярким белым све­том, который сами пос­тра­дав­шие срав­нива­ют со стро­бос­копами рет­рорей­вов.

Как рас­ска­зал инже­нер Intel и раз­работ­чик ядра Вил­ле Сирь­ял (Ville Syrjäl), этот баг не толь­ко раз­дра­жает и не дает нор­маль­но работать, но и может при­вес­ти к пов­режде­нию дис­плея устрой­ства. Изу­чив логи пос­тра­дав­ших поль­зовате­лей, иссле­дова­тель при­шел к выводу, что проб­лема свя­зана с гра­фичес­ким драй­вером и багом, который вызыва­ет нежела­тель­ные задер­жки подачи питания дис­плея. В ито­ге Сирь­ял катего­ричес­ки не рекомен­дует исполь­зовать ноут­буки с Intel GPU вмес­те с ядром Linux вер­сии 5.19.12.

Фак­тичес­ки проб­лема зат­рагива­ет все ноут­буки на базе про­цес­соров Intel, где дис­плей под­клю­чен нап­рямую к встро­енной гра­фике. Это зна­чит, что баг каса­ется ноут­буков Nvidia Optimus и некото­рых ноут­буков Intel + Radeon, так как iGP управля­ет основным дис­пле­ем, даже если акти­вен дис­крет­ный GPU.

В нас­тоящее вре­мя Грег Кроа‑Хар­тман (Greg Kroah-Hartman), отве­чающий за ста­биль­ную вет­ку ядра Linux, уже под­готовил патч для этой проб­лемы, и в ядре вер­сии 5.19.13 ошиб­ка была устра­нена.

«Этот выпуск пред­назна­чен для устра­нения рег­ресса в некото­рых гра­фичес­ких сис­темах Intel, где наб­людались проб­лемы с 5.19.12. Если у вас нет проб­лемы с 5.19.12, нет необ­ходимос­ти в обновле­нии», — пишет раз­работ­чик.

Поль­зовате­лям рекомен­дует­ся про­верять номера вер­сий ядра перед обновле­нием и избе­гать Linux 5.19.12, если они исполь­зуют ноут­буки с про­цес­сорами Intel. Тем, кто уже пос­тра­дал от этой ошиб­ки, рекомен­дует­ся не оставлять экран в режиме мигания надол­го, так как это уве­личи­вает веро­ятность необ­ратимых пов­режде­ний.

Атаки на «Сбер»

За­мес­титель пред­седате­ля «Сбер­банка» Ста­нис­лав Куз­нецов рас­ска­зал жур­налис­там, что 7 октября 2022 года на 440 сер­висов бан­ка была совер­шена одна из круп­ней­ших DDoS-атак в исто­рии финан­сового учрежде­ния.
Куз­нецов счи­тает, что целью этой ата­ки была оста­нов­ка работы бан­ка, одна­ко сбо­ев в работе «Сбер­банка» не воз­никло.

«Недав­но мы выдер­жали круп­ней­шую ата­ку. Это про­исхо­дило 7 октября. Тог­да по заранее под­готов­ленно­му пла­ну, с очень дли­тель­ной под­готов­кой была спла­ниро­вана спе­циаль­ная DDoS-ата­ка, в которой учас­тво­вало не менее 104 000 хакеров, которые вели эту ата­ку с инфраструк­туры, рас­положен­ной в зарубеж­ных государс­твах, чис­ленностью не менее 30 000 устрой­ств»,

— сооб­щил Куз­нецов и отме­тил, что с начала года на «Сбер­банк» было совер­шено 470 DDoS-атак — боль­ше, чем за пос­ледние семь лет сум­марно.

 

Илон Маск купил Twitter

В кон­це октября Илон Маск наконец завер­шил сдел­ку по покуп­ке Twitter за 44 мил­лиар­да дол­ларов, перего­воры о которой дли­лись более полуго­да и из‑за которой ком­пания даже подава­ла на него в суд, пыта­ясь зас­тавить соб­людать дос­тигну­тое исходно сог­лашение о сли­янии.

У себя в Twitter Маск сооб­щил, что «птич­ка осво­боди­лась» (the bird is freed), и пря­мо в день под­писания бумаг уво­лил ряд топ‑менед­жеров Twitter, вклю­чая гла­ву ком­пании Парага Агра­вала (Parag Agrawal), который был наз­начен на этот пост в нояб­ре 2021 года, ког­да осно­ватель и быв­ший гла­ва соц­сети Джек Дор­си покинул ком­панию.

«Маск уво­лил CEO Парага Агра­вала и глав­ного финан­сового дирек­тора Неда Сигала пос­ле зак­рытия сдел­ки», — сооб­щило изда­ние The Wall Street Journal. Так­же были уво­лены руково­дитель отде­ла пра­вовой полити­ки Twitter Вид­жая Гад­де и глав­ный юрис­консульт Шон Эджетт. При этом жур­налис­ты сооб­щили, что уво­лен­ным топ‑менед­жерам вып­латят мно­гомил­лион­ные ком­пенса­ции (от 38,7 до 11,2 мил­лиона дол­ларов США).

По­ка неяс­но, кто теперь воз­гла­вит ком­панию, перешед­шую в собс­твен­ность Ило­на Мас­ка. Вре­мен­ным генераль­ным дирек­тором Twitter ста­нет сам Маск, а затем, веро­ятно, он усту­пит эту дол­жность кому‑то дру­гому.

Нуж­но отме­тить, что отно­шения Мас­ка и Агра­вала были натяну­тыми в пос­ледние месяцы, пока Маск пытал­ся отка­зать­ся от сдел­ки. В августе текуще­го года Маск даже вызывал быв­шего гла­ву Twitter на пуб­личные дебаты, пред­лагая ему обсу­дить количес­тво ботов в соци­аль­ной сети. «Пусть он докажет общес­твен­ности, что в Twitter ежед­невно активны менее 5% фей­ковых или спа­мер­ских акка­унтов!» — писал Маск. Вмес­то это­го ком­пания про­дол­жила судеб­ную тяж­бу про­тив Мас­ка, что в ито­ге помог­ло Twitter завер­шить эту сдел­ку.

Так­же сто­ит ска­зать, что Маск неод­нократ­но пуб­ликовал тви­ты с кри­тикой (1, 2) под­хода Гад­де к модера­ции кон­тента.

По информа­ции СМИ, посетив штаб‑квар­тиру Twitter в Сан‑Фран­циско, Маск пообе­щал, что не будет уволь­нять 75% сот­рудни­ков ком­пании (штат Twitter нас­читыва­ет 7500 человек), как сооб­щалось ранее. При этом Маск при­вез с собой раз­работ­чиков из ком­пании Tesla, которые яко­бы дол­жны будут оце­нить код и работу сот­рудни­ков Twitter, а затем пред­ста­вить отчет новому вла­дель­цу.

На­пом­ню, ранее Маск заяв­лял, что при­обре­тает Twitter ради прин­ципов сво­боды сло­ва, которых, по его мне­нию, дол­жна при­дер­живать­ся плат­форма. Так­же он пла­ниро­вал бороть­ся с арми­ями ботов, спа­мом и так называ­емы­ми теневы­ми банами.

За нес­коль­ко часов до завер­шения сдел­ки Маск опуб­ликовал обра­щение к рек­ламода­телям, в котором заверил, что Twitter не «прев­ратит­ся в дос­тупный для всех кош­мар», где мож­но будет пуб­ликовать что угод­но без пос­ледс­твий, и в оче­ред­ной раз под­чер­кнул, что плат­форму он при­обрел не ради денег.

«При­чина, по которой я при­обрел Twitter, зак­люча­ется в том, что для будуще­го цивили­зации очень важ­но иметь общую „циф­ровую город­скую пло­щадь“, на которой мож­но здо­ровым спо­собом обсу­дить широкий спектр убеж­дений, не при­бегая к насилию, — пишет Маск. — В нас­тоящее вре­мя сущес­тву­ет огромная опас­ность того, что соци­аль­ные сети рас­колют­ся на край­не пра­вые и край­не левые эхо‑камеры, которые будут порож­дать еще боль­шую ненависть и раз­делять наше общес­тво».

Другие интересные события месяца

Быв­шие руково­дите­ли eBay получи­ли тюрем­ные сро­ки за прес­ледова­ние четы жур­налис­тов

Часть раз­работ­чиков Nginx вер­нулась в Рос­сию и запус­тила про­ект Angie

По­явил­ся PoC-экс­пло­ит для PlayStation 5. Он сра­баты­вает лишь в 30% слу­чаев

Сот­ни сер­веров Microsoft SQL ока­зались зараже­ны бэк­дором Maggie

Кросс‑чейн‑мост BSC Token Hub взло­ман. Похище­но 566 мил­лионов дол­ларов

Аме­рикан­ские влас­ти перечис­лили «любимые» уяз­вимос­ти китай­ских хакеров

У Microsoft про­изош­ла утеч­ка дан­ных, кос­нувша­яся 65 000 орга­низа­ций по все­му миру

Тра­фик в Android уте­кает за пре­делы VPN-тун­нелей даже при вклю­чен­ной фун­кции Always-on VPN

По­лиция хит­ростью вымани­ла клю­чи дешиф­рования у опе­рато­ров вымога­теля DeadBolt

Сла­бый блоч­ный шифр в Office 365 при­водит к рас­кры­тию содер­жимого сооб­щений

Подписаться
Уведомить о
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии