В этом месяце: пред­став­лен дис­три­бутив Kali Purple, уче­ные и экспер­ты при­зыва­ют при­оста­новить обу­чение ИИ, пра­воох­раните­ли арес­товали соз­дателя BreachForums, дро­ны DJI рас­кры­вают мес­тополо­жение сво­их опе­рато­ров, Twitter ищет челове­ка, который слил исходные коды ком­пании на GitHub, в TPM 2.0 выяв­лены опас­ные уяз­вимос­ти, а так­же дру­гие инте­рес­ные события мар­та.
 

Kali Purple для безопасников

Ком­пания Offensive Security выпус­тила Kali Linux 2023.1, пер­вую в 2023 году вер­сию (к тому же при­уро­чен­ную к десяти­летию про­екта), с новым дис­три­бути­вом Kali Purple, который пред­назна­чен для blue и purple team, то есть ори­енти­рован на обо­рони­тель­ную безопас­ность.

«За про­шед­шие годы мы усо­вер­шенс­тво­вали то, на чем спе­циали­зиро­вались, то есть нас­тупатель­ную безопас­ность. Теперь мы начина­ем переход в новую область — обо­рони­тель­ную безопас­ность, — пишут в Offensive Security. — Мы дела­ем пред­стар­товый запуск озна­коми­тель­ной тех­ничес­кой вер­сии Kali Purple. [Дис­три­бутив] пока находит­ся на началь­ном эта­пе раз­вития, и ему пот­ребу­ется вре­мя, что­бы соз­реть. Но вы уже можете видеть нап­равле­ние, в котором раз­вива­ется Kali, а так­же можете при­нять учас­тие в фор­мирова­нии это­го нап­равле­ния!»

Хо­тя дис­три­бутив еще на ран­них ста­диях раз­работ­ки, он уже вклю­чает в себя более 100 защит­ных инс­тру­мен­тов, в том чис­ле Malcolm, Suricata, Arkime, TheHive и Zeek, а так­же име­ет спе­циаль­ную Wiki, которая поможет начать работу.

Kali Purple уже мож­но заг­рузить в виде ISO-обра­за для сис­тем x64/AMD64.

Кро­ме того, сто­ит отме­тить, что в сос­тав Kali 2023.1 вош­ли сра­зу восемь новых инс­тру­мен­тов:

  • Arkime — инс­тру­мент для зах­вата и поис­ка пакетов с откры­тым исходным кодом;

  • CyberChef — нас­тоящий «муль­титул», поз­воля­ющий ана­лизи­ровать, рас­шифро­вывать, деоб­фуциро­вать и декоди­ровать дан­ные с помощью самых раз­ных инс­тру­мен­тов;

  • DefectDojo — опен­сор­сный инс­тру­мент для кор­реляции и оркес­тров­ки безопас­ности и управле­ния уяз­вимос­тями при­ложе­ний;

  • Dscan — wrapper для Nmap для рас­пре­делен­ного сбо­ра сетевых дан­ных;

  • Kubernetes-Helm — плат­форма управле­ния пакета­ми Kubernetes с откры­тым исходным кодом;

  • PACK2 — ком­плект для ана­лиза и взло­ма паролей;

  • Redeye — инс­тру­мент, приз­ванный помочь наибо­лее эффектив­но и орга­низо­ван­но управлять сво­ими дан­ными во вре­мя пен­теста;

  • Unicrypto — еди­ный интерфейс для ряда крип­тоал­горит­мов.

42% компаний не хватает ИБ-специалистов

  • По дан­ным «Лабора­тории Кас­пер­ско­го», более тре­ти ком­паний в Рос­сии (42%) вынуж­дены обра­щать­ся к пос­тавщи­кам управля­емых IT- и ИБ‑услуг (MSP/MSSP) из‑за нех­ватки собс­твен­ных спе­циалис­тов.

  • Ана­логич­ное же чис­ло рес­понден­тов (по 42%) ука­зали две дру­гие при­чины работы с ком­пани­ями в сфе­ре ИБ на аут­сорсе: более высокая эффектив­ность и необ­ходимость сле­довать тре­бова­ниям регуля­торов.

  • Око­ло тре­ти опро­шен­ных отме­тили недос­таток опы­та в сфе­ре кибер­безопас­ности внут­ри сво­ей орга­низа­ции (36%) и финан­совую выгоду, свя­зан­ную с опти­миза­цией зат­рат на под­дер­жку шта­та, покуп­ку лицен­зий, раз­ворачи­вание и мас­шта­биро­вание IT-инфраструк­туры (32%).

 

Создатель BreachForums арестован

В кон­це мар­та ста­ло извес­тно об арес­те живуще­го в Нью‑Йор­ке вла­дель­ца и осно­вате­ля хакер­ско­го форума BreachForums (известен в сети как Pompompurin).

В пос­леднее вре­мя BreachForums был круп­ней­шим хак‑форумом, пос­вящен­ным утеч­кам дан­ных, и обыч­но имен­но он исполь­зовал­ся взлом­щиками и вымога­теля­ми для сли­ва информа­ции. Ресурс был запущен Pompompurin’ом в прош­лом году, пос­ле того как ФБР зак­рыло хакер­ский сайт RaidForums.

Лич­но Pompompurin и дру­гие учас­тни­ки BreachForums свя­заны со мно­жес­твом гром­ких взло­мов и уте­чек дан­ных, вклю­чая кра­жу дан­ных мил­лионов поль­зовате­лей Robinhood, утеч­ку дан­ные 5,4 мил­лиона поль­зовате­лей Twitter, недав­ние ата­ки на Acer и Activision.

По дан­ным минис­терс­тва юсти­ции, до отклю­чения на BreachForums нас­читыва­лось более 340 тысяч поль­зовате­лей. По сос­тоянию на 11 янва­ря 2023 года в БД плат­формы было 888 наборов дан­ных, сос­тоящих более чем из 14 мил­лиар­дов отдель­ных записей.

Вско­ре пос­ле арес­та осно­вате­ля ресур­са оставший­ся адми­нис­тра­тор, извес­тный под ником Baphomet, был вынуж­ден зак­рыть сайт окон­чатель­но, так как обна­ружил, что про­дол­жать работу небезо­пас­но, ведь к инфраструк­туре BreachForums, похоже, уже получи­ли дос­туп пра­воох­раните­ли.

Де­ло в том, что, ког­да инфраструк­тура BreachForums была отклю­чена, в сети остался ста­рый CDN-сер­вер, на котором раз­мещались не слиш­ком важ­ные дан­ные.

«Во вре­мя миг­рации я про­верял, не про­исхо­дит ли чего‑то подоз­ритель­ного, что мог­ло бы вызывать бес­покой­ство, — писал Baphomet. — Одним из про­верен­ных мной сер­веров был наш ста­рый сер­вер CDN, упо­мяну­тый выше. Похоже, кто‑то вхо­дил в сис­тему 19 мар­та, в 1:34 EST, до того, как на сер­вер вошел я.

К сожале­нию, это при­водит нас к выводу, что, ско­рее все­го, у кого‑то есть дос­туп к машине Pom’a. Наши сер­веры никог­да не исполь­зуют­ся кем‑то еще, поэто­му кто‑то дол­жен был знать учет­ные дан­ные, что­бы иметь воз­можность вой­ти в сис­тему.

Те­перь я чувс­твую, что ока­зал­ся в ситу­ации, ког­да нель­зя счи­тать, что хоть что‑то находит­ся в безопас­ности, будь то наши кон­фигура­ции, исходный код или информа­ция о наших поль­зовате­лях — спи­сок бес­конечен».

Как в ито­ге сооб­щили аме­рикан­ские влас­ти, 20-лет­нему Кон­нору Брай­ану Фит­цпат­рику (Conor Brian FitzPatric), так­же извес­тно­му как Pompompurin, предъ­явле­ны обви­нения, свя­зан­ные с хищени­ем и про­дажей кон­фиден­циаль­ной лич­ной информа­ции, при­над­лежащей «мил­лионам граж­дан США, а так­же сот­ням аме­рикан­ских и инос­тран­ных ком­паний, орга­низа­ций и государс­твен­ных учрежде­ний». Фит­цпат­рик обви­няет­ся в сго­воре с целью совер­шения мошен­ничес­тва с устрой­ства­ми дос­тупа, и в слу­чае приз­нания винов­ным ему гро­зит до пяти лет тюрем­ного зак­лючения.

В нас­тоящее вре­мя Фит­цпат­рик уже пред­стал перед судом и был отпу­щен под залог в раз­мере 300 тысяч дол­ларов.

В судеб­ных докумен­тах спе­циаль­ный агент ФБР Джон Лон­гмайр (John Longmire) рас­ска­зыва­ет, что ФБР получи­ло дос­туп к БД BreachForums и это помог­ло уста­новить, что Фит­цпат­рик дей­стви­тель­но Pompompurin.

Пра­воох­раните­ли приш­ли к таким выводам на осно­вании жур­налов активнос­ти и дан­ных интернет‑про­вай­дера обви­няемо­го, Optimum Online (учет­ная запись зарегис­три­рова­на на адрес conorfitz@optimum.net), а так­же дан­ных, получен­ных от ком­паний Verizon, Google и Apple.

Свя­зать Фит­цпат­рика с лич­ностью осно­вате­ля BreachForums помог час­тный раз­говор, в ходе которо­го Фит­цпат­рик сооб­щил вла­дель­цу ныне зак­рытого RaidForums, что укра­ден­ная база дан­ных ai.type, попав­шая на Have I Been Pwned, не содер­жит его ста­рый поч­товый адрес conorfitzpatrick02@gmail.com. Дос­туп к это­му чату пра­воох­раните­ли получи­ли пос­ле лик­видации RaidForums и кон­фиска­ции сер­веров.

Лон­гмайр пишет, что, помимо это­го, ФБР выяви­ло IP-адрес Фит­цпат­рика в Optimum Online (69.115.201.194), попав­ший в базу BreachForums, так как однажды он исполь­зовал его для вхо­да на хак‑форум, судя по все­му забыв исполь­зовать Tor или вклю­чить VPN (так­же веро­ятно, что VPN-сер­вис допус­тил сбой). Этот же IP был свя­зан с лич­ным акка­унтом iCloud Фит­цпат­рика.

Кро­ме того, дан­ные Verizon показа­ли, что IP-адре­са, ранее исполь­зован­ные для дос­тупа к учет­ной записи Pompompurin на RaidForums, были при­вяза­ны к мобиль­ным устрой­ствам, зарегис­три­рован­ным на Фит­цпат­рика, который про­жива­ет в доме сво­его отца в городе Пик­скил­ле.

В ходе арес­та сам обви­няемый откры­то приз­нался пра­воох­ранитель­ным орга­нам (без при­сутс­твия адво­ката), что имен­но он скры­вает­ся за псев­донимом Pompompurin на BreachForums.

«Он так­же приз­нал, что вла­деет BreachForums и управля­ет им, а ранее управлял учет­ной записью Pompompurin на RaidForums. По его оцен­кам, он зараба­тывал око­ло 1000 дол­ларов в день на BreachForums и исполь­зовал эти день­ги для адми­нис­три­рова­ния ресур­са и покуп­ки дру­гих доменов», — гла­сят докумен­ты.

ИИ повлияет на рынок труда

  • Ис­сле­дова­тели из Goldman Sachs под­готови­ли спе­циаль­ный отчет, пос­вящен­ный тому, как ИИ‑сис­темы могут пов­лиять на рынок тру­да в США и Евро­пе. По их мне­нию, появ­ление генера­тив­ного ИИ может так или ина­че зат­ронуть до 300 000 000 рабочих мест. Одна­ко боль­шинс­тво отраслей и про­фес­сий будут толь­ко час­тично под­верже­ны авто­мати­зации и ско­рее будут допол­нены, а не замене­ны искусс­твен­ным интеллек­том.

  • При­мер­но 2/3 всех рабочих мест может зат­ронуть авто­мати­зация с исполь­зовани­ем ИИ, который сни­мет до 50% наг­рузки с работ­ников.

  • Ожи­дает­ся, что лишь 7% тру­дящих­ся могут потерять свою дол­жность и могут быть замене­ны ИИ. Еще в 63% слу­чав ИИ возь­мет на себя лишь часть задач, облегчив работу людям, а при­мер­но 30% работа­ющих людей раз­витие ИИ‑сис­тем вооб­ще не зат­ронет.

  • Око­ло 25% всех рабочих задач, выпол­няемых в США и Евро­пе, могут быть авто­мати­зиро­ваны с помощью искусс­твен­ного интеллек­та.

  • В США наиболь­шей угро­зе «вытес­нения» с рын­ка тру­да под­верже­ны офис­ные и адми­нис­тра­тив­ные работ­ники (46%), юрис­ты (44%), а так­же спе­циалис­ты в области архи­тек­туры и про­екти­рова­ния (37%).

  • На­имень­шей угро­зе со сто­роны ИИ под­верга­ются спе­циалис­ты по убор­ке и обслу­жива­нию, а так­же ремон­ту и стро­итель­ству.

  • Ес­ли широко исполь­зовать искусс­твен­ный интеллект, то общий рост мирово­го ВВП может сос­тавить 7% в течение сле­дующих десяти лет, счи­тают экспер­ты.

 

Synacktiv победила на Pwn2Own

На кон­ферен­ции CanSecWest завер­шилось хакер­ское сорев­нование Pwn2Own. В этом году спе­циалис­ты сум­марно рас­кры­ли 27 уни­каль­ных 0-day-уяз­вимос­тей, ском­про­мети­ровав в чис­ле про­чего Tesla Model 3, Windows 11, macOS и Ubuntu, и заб­рали с собой 1 035 000 дол­ларов и новую Tesla Model 3.

Бес­спор­ным лидером сорев­нований ста­ла фран­цуз­ская коман­да Synacktiv, в сос­тав которой в этом году вош­ли Элуа Бенуа‑Ван­дербе­кен (Eloi Benoist-Vanderbeken), Давид Берар (David Berard), Вин­сент Деор (Vincent Dehors), Тан­ги Дуб­рока (Tanguy Dubroca), Тома Бузерар (Thomas Bouzerar) и Тома Имбер (Thomas Imbert).

На сче­ту спе­циалис­тов сле­дующие успешные взло­мы и при­зы:

  • 250 000 дол­ларов: цепоч­ка экс­пло­итов, нап­равлен­ная на перепол­нение хипа и запись в OOB, поз­воля­ющая получить сво­бод­ный root через инфо­тей­мент‑сис­тему Tesla Model 3;

  • 100 000 дол­ларов: ата­ка типа TOCTOU (time of check to time of use) на Tesla Model 3;

  • 80 000 дол­ларов: цепоч­ка из трех оши­бок, нап­равлен­ная на повыше­ние при­виле­гий на хос­те Oracle VirtualBox;

  • 40 000 дол­ларов: TOCTOU-ата­ка на повыше­ние при­виле­гий в Apple macOS;

  • 30 000 дол­ларов: повыше­ние при­виле­гий в Ubuntu Desktop;

  • 30 000 дол­ларов: ата­ка на UAF в Microsoft Windows 11.

Сум­марно коман­да увез­ла домой 530 тысяч дол­ларов (это при­мер­но полови­на все­го при­зово­го фон­да сорев­нований), Tesla Model 3 и зарабо­тала 53 бал­ла Master of Pwn, обог­нав всех сопер­ников с огромным отры­вом.

Это уже вто­рой раз, ког­да Synacktiv выиг­рыва­ет Pwn2Own. В прош­лый раз спе­циалис­ты Synacktiv за­няли пер­вое мес­то в 2021 году, на Pwn2Own Austin.

Те­перь все пос­тавщи­ки дол­жны испра­вить про­демонс­три­рован­ные и рас­кры­тые во вре­мя Pwn2Own уяз­вимос­ти в течение 90 дней, а затем Trend Micro Zero Day Initiative откры­то опуб­лику­ет тех­ничес­кие под­робнос­ти всех исполь­зован­ных на сорев­новании 0-day-экс­пло­итов.

Медведев поддержал пиратство

Зам­пред Сов­беза РФ Дмит­рий Мед­ведев заявил, что счи­тает пра­виль­ным ска­чивать и рас­простра­нять в сети пират­ские копии филь­мов и музыкаль­ных про­изве­дений, которые ста­ли недос­тупны в Рос­сии по решению запад­ных пра­вооб­ладате­лей.

«Зна­ете что? Ищи­те пра­виль­ных пиратов и ска­чивай­те у них. Если они ушли от нас, вся­кие „Нет­флик­сы“ и про­чие, зна­чит, будем это все ска­чивать, будем поль­зовать­ся бес­плат­но. А я бы все это по сети раз­бра­сывал, для того что­бы при­чинить им мак­сималь­ный урон. Мак­сималь­ный урон, что­бы они обан­кро­тились!»

— заявил Мед­ведев в интервью рос­сий­ским СМИ, ком­менти­руя исчезно­вение, в час­тнос­ти, некото­рой запад­ной музыки из онлайн‑сер­висов в РФ.

Так­же он отме­тил, что рань­ше отри­цатель­но отно­сил­ся к пиратс­тву, как юрист, «и счи­тал, что луч­ше переп­латить», даже ког­да ему говори­ли, что «все есть на тор­рент‑тре­керах».

 

Задержите ИИ!

Бо­лее тысячи человек, в чис­ло которых вош­ли про­фес­сора и ИИ‑раз­работ­чики, под­писали откры­тое пись­мо, обра­щен­ное ко всем лабора­тори­ям, занима­ющим­ся раз­работ­кой искусс­твен­ного интеллек­та. В пос­лании, опуб­ликован­ном неком­мерчес­кой орга­низа­цией Future of Life, экспер­ты при­зыва­ют немед­ленно при­оста­новить раз­работ­ку и обу­чение ИИ, более мощ­ных, чем GPT-4, хотя бы на пол­года.

Пись­мо под­писали мно­гие извес­тные люди, которые занима­ются раз­работ­кой и тех­нологи­ями в сфе­ре ИИ, в том чис­ле: соуч­редитель OpenAI Илон Маск, матема­тик, кибер­нетик и информа­тик, наибо­лее извес­тный работа­ми в области искусс­твен­ного интеллек­та, а так­же осно­ватель Mila Йошуа Бен­джио, соуч­редитель Apple Стив Воз­няк, гла­ва Stability AI Эмад Мос­трак, пионер иссле­дова­ний в области ИИ Стю­арт Рас­сел, а так­же осно­ватель Geometric Intelligence Гэри Мар­кус.

В откры­том пись­ме упо­мина­ются потен­циаль­ные рис­ки для общес­тва и челове­чес­тва, воз­ника­ющие в резуль­тате быс­тро­го раз­вития передо­вых ИИ‑сис­тем в отсутс­твие общих про­токо­лов безопас­ности. Под­писав­шиеся счи­тают, что потен­циаль­ные рис­ки этой «револю­ции» еще толь­ко пред­сто­ит все­цело оце­нить и учесть с помощью ком­плексной сис­темы управле­ния, тог­да как положи­тель­ный эффект от этих тех­нологий не гаран­тирован.

«Прод­винутый ИИ может пов­лечь за собой зна­читель­ные изме­нения в исто­рии жиз­ни на Зем­ле, и его сле­дует пла­ниро­вать и управлять им с соот­ветс­тву­ющей осто­рож­ностью и ресур­сами, — гла­сит пос­лание. — К сожале­нию, такого пла­ниро­вания и управле­ния не про­исхо­дит, нев­зирая на то, что в пос­ледние месяцы ИИ‑лабора­тории ввя­зались в некон­тро­лиру­емую гон­ку по раз­работ­ке и внед­рению все более мощ­ных циф­ровых разумов, которые ник­то (вклю­чая их соз­дателей) не может понять, пред­ска­зать или надеж­но кон­тро­лиро­вать».

Так­же пись­мо пре­дуп­режда­ет, что сов­ремен­ные ИИ‑сис­темы уже нап­рямую кон­куриру­ют с людь­ми в выпол­нении общих задач, что под­нима­ет ряд экзистен­циаль­ных и эти­чес­ких воп­росов, которые челове­чес­тву все еще необ­ходимо рас­смот­реть, обсу­дить и решить.

Не­кото­рые из этих воп­росов каса­ются потока информа­ции, генери­руемой ИИ, некон­тро­лиру­емой авто­мати­зации рабочих мест, раз­вития сис­тем, которые пре­вос­ходят челове­ка и из‑за которых люди могут «уста­реть», а так­же кон­тро­ля над цивили­заци­ей в целом.

Эк­спер­ты счи­тают, что мы дос­тигли того момен­та, ког­да сле­дует обу­чать более прод­винутые ИИ‑сис­темы толь­ко под стро­гим над­зором и лишь имея уве­рен­ность в том, что рис­ки, воз­ника­ющие при их раз­верты­вании, управля­емы.

«Поэто­му мы при­зыва­ем все ИИ‑лабора­тории немед­ленно при­оста­новить обу­чение ИИ‑сис­тем, более мощ­ных, чем GPT-4, как минимум на шесть месяцев, — говорит­ся в пись­ме. — Эта пауза дол­жна быть пуб­личной и под­дающей­ся про­вер­ке, и она дол­жна зат­рагивать всех клю­чевых учас­тни­ков. Если такая пауза не может быть взя­та быс­тро, пра­витель­ства дол­жны вме­шать­ся и ввес­ти морато­рий».

Во вре­мя этой паузы раз­работ­чикам ИИ пред­лага­ется соб­рать­ся вмес­те и догово­рить­ся о соз­дании еди­ных про­токо­лов безопас­ности, которые затем смо­гут исполь­зовать­ся для ауди­тов, про­води­мых внеш­ними незави­симы­ми экспер­тами.

Кро­ме того, под­писан­ты полага­ют, что полити­кам сле­дует при­нять защит­ные меры и занять­ся регули­рова­нием дан­ной сфе­ры. В час­тнос­ти, пред­лага­ется соз­дать сис­тему «водяных зна­ков», поз­воля­ющих эффектив­но отли­чать под­линный кон­тент от фаль­шивого, про­рабо­тать воз­можность воз­ложения ответс­твен­ности за вред, при­чинен­ный матери­ала­ми, соз­данны­ми ИИ, а так­же выделить государс­твен­ное финан­сирова­ние на иссле­дова­ние рис­ков, свя­зан­ных с ИИ.

Пись­мо не содер­жит при­зывов пол­ностью прек­ратить раз­работ­ку ИИ. В нем, нап­ротив, под­черки­вают­ся потен­циаль­ные опас­ности, свя­зан­ные с рас­тущей кон­курен­цией меж­ду раз­работ­чиками ИИ, стре­мящи­мися занять свою нишу на быс­тро рас­тущем рын­ке.

«С ИИ челове­чес­тво может нас­лаждать­ся прек­расным будущим. Пре­успев в соз­дании мощ­ных ИИ‑сис­тем, мы можем нас­лаждать­ся „рас­цве­том ИИ“ и пожинать пло­ды, раз­рабаты­вая эти сис­темы для все­обще­го бла­га и давая общес­тву шанс адап­тировать­ся. Общес­тво при­оста­нови­ло раз­витие дру­гих тех­нологий, несущих потен­циаль­но катас­тро­фичес­кие пос­ледс­твия. Мы можем пос­тупить так же и здесь», — зак­люча­ют экспер­ты.

2 миллиарда долларов вывели с Binance

  • За пос­леднюю неделю мар­та отток средств с крип­товалют­ной бир­жи Binance сос­тавил 2,1 мил­лиар­да дол­ларов США. Об этом сооб­щило изда­ние Wall Street Journal со ссыл­кой на дан­ные ана­лити­чес­кой плат­формы Nansen.

  • На обще­дос­тупных кошель­ках бир­жи в нас­тоящий момент содер­жится 63,2 мил­лиар­да дол­ларов. Тем­пы сня­тия средств пре­выси­ли обыч­ную активность и уско­рились пос­ле объ­явле­ния Комис­сии по тор­говле товар­ными фьючер­сами США (CFTC) о том, что та пода­ет в суд на крип­товалют­ную бир­жу, обви­няя ее в незакон­ной деятель­нос­ти на тер­ритории США.

  • До­ля ком­пании на рын­ке упа­ла на 30% с 24 мар­та 2023 года, сооб­щают ана­лити­ки ком­пании CryptoCompare.

 

Утекли исходники Twitter

Ком­пания Twitter добилась уда­ления с GitHub внут­ренних исходных кодов сво­ей плат­формы и инс­тру­мен­тов, которые утек­ли в откры­тый дос­туп нес­коль­ко месяцев назад. Теперь Twitter тре­бует от GitHub рас­крыть дан­ные челове­ка, который слил исходни­ки, и всех, кто получал к ним дос­туп.

В кон­це месяца пред­ста­вите­ли GitHub были вынуж­дены отре­аги­ровать на наруше­ние закона «Об автор­ском пра­ве в циф­ровую эпо­ху» (DMCA) и жа­лобу Twitter, которая заяви­ла об утеч­ке проп­риетар­ных исходных кодов и внут­ренних инс­тру­мен­тов, что мог­ло пред­став­лять угро­зу для безопас­ности ком­пании.

Сог­ласно жалобе, источни­ком утеч­ки стал поль­зователь FreeSpeechEnthusiast, при­чем его ник — явная отсылка к сло­вам Ило­на Мас­ка, который час­то называ­ет себя абсо­лютис­том в воп­росах сво­боды сло­ва (free speech absolutist). То есть, веро­ятно, информа­цию слил недоволь­ный сот­рудник Twitter (ско­рее все­го, уво­лен­ный пос­ле покуп­ки ком­пании Мас­ком). В нас­тоящее вре­мя учет­ная запись FreeSpeechEnthusiast по‑преж­нему активна, но у поль­зовате­ля нет дру­гих обще­дос­тупных репози­тори­ев.

По информа­ции СМИ, ког­да имен­но про­изош­ла утеч­ка, неиз­вес­тно, но жур­налис­ты счи­тают, что исходни­ки были дос­тупны в сети «в течение как минимум нес­коль­ких месяцев».

В сво­ей жалобе на наруше­ние автор­ских прав Twitter тре­бует от GitHub пре­дос­тавить информа­цию об исто­рии дос­тупов к этой утеч­ке, веро­ятно желая опре­делить ее источник.

«Пожалуй­ста, сох­раните и пре­дос­тавь­те копии любых исто­рий заг­рузки/ска­чива­ния/дос­тупа (и любой кон­так­тной информа­ции, IP-адре­сов или дру­гих свя­зан­ных дан­ных о сеан­се), а так­же любых жур­налов, свя­зан­ных с этим репози­тори­ем и любыми его фор­ками, преж­де чем уда­лять весь наруша­ющий автор­ские пра­ва кон­тент с GitHub», — гла­сит документ.

В нас­тоящее вре­мя Twitter пыта­ется исполь­зовать судеб­ную повес­тку, что­бы вынудить GitHub пре­дос­тавить иден­тифици­рующую информа­цию о поль­зовате­ле FreeSpeechEnthusiast и любом дру­гом, кто получил дос­туп к утеч­ке и рас­простра­нял исходные коды Twitter. Получен­ные дан­ные будут исполь­зованы для даль­нейших судеб­ных исков.

Пред­ста­вите­ли GitHub не сооб­щают, сколь­ко людей получи­ли дос­туп к утек­шим исходным кодам Twitter или ска­чали их, но у FreeSpeechEnthusiast было мало под­писчи­ков. Нес­мотря на это, отме­чает­ся, что утеч­ка может иметь серь­езные пос­ледс­твия для Twitter, так как исходни­ки могут быть тща­тель­но изу­чены пос­торон­ними для выяв­ления потен­циаль­но опас­ных уяз­вимос­тей.

Фишеров стало больше

  • Group-IB сооб­щила, что в 2022 году заб­локиро­вала более 59 000 фишин­говых сай­тов, из которых более 7000 были обна­руже­ны в рос­сий­ском сег­менте интерне­та, что в два раза боль­ше, чем годом ранее.

  • Мо­шен­ничес­кие ресур­сы похища­ли у рос­сиян логины и пароли, дан­ные бан­ков­ских карт, акка­унты в мес­сен­дже­рах.

  • Ес­ли в 2021 году количес­тво заб­локиро­ван­ных СERT-GIB ресур­сов в интерне­те сос­тавило 31 455, то в 2022 году их чис­ло уве­личи­лось до 59 282.

  • В зонах .ru и .рф количес­тво заб­локиро­ван­ных сай­тов вырос­ло более чем вдвое: с 3210 до 7121.

  • В целом за прош­лый год толь­ко в зонах .ru и .рф спе­циалис­ты обна­ружи­ли 20 170 фишин­говых доменов (в 2021 году их чис­ло сос­тавля­ло 15 363 домена).

  • Зло­умыш­ленни­ки поль­зовались услу­гами хос­тинг‑про­вай­деров, рас­положен­ных в основном в США, Рос­сии и Гер­мании. При этом каж­дый тре­тий сайт мошен­ников был в домен­ной зоне .com (33,8% от обще­го чис­ла ресур­сов).
 

aCropalypse угрожает Windows и Pixel

Раз­работ­чики Microsoft экс­трен­но обно­вили инс­тру­мен­ты Snipping Tool и Snip and Sketch («Нож­ницы») в Windows 10 и 11, испра­вив недав­но обна­ружен­ную уяз­вимость, получив­шую наз­вание aCropalypse. Баг поз­волял вос­ста­новить ори­гинал любого изоб­ражения, отре­дак­тирован­ного с помощью «Нож­ниц».

Из­началь­но проб­лему aCropalypse (CVE-2023-21036) обна­ружи­ли в устрой­ствах Google Pixel и свя­зали с редак­тором скрин­шотов Markup, который появил­ся на смар­тфо­нах в 2018 году, с релизом Android 9.0 Pie.

Суть уяз­вимос­ти зак­лючалась в том, как имен­но файл изоб­ражения откры­вает­ся для редак­тирова­ния и сох­раня­ется: обре­зан­ные или зак­рашен­ные при помощи Markup дан­ные все рав­но оста­ются в новом сох­ранен­ном фай­ле, что поз­воля­ет вос­ста­новить при­мер­но 80% исходной кар­тинки.

Восстановление закрашенного номера банковской карты
Вос­ста­нов­ление зак­рашен­ного номера бан­ков­ской кар­ты

Ис­сле­дова­тели пре­дуп­режда­ли, что aCropalypse может рас­кры­вать кон­фиден­циаль­ную информа­цию поль­зовате­лей, если они ког­да‑либо редак­тирова­ли изоб­ражение с помощью Markup, а затем делились этим фай­лом с дру­гими людь­ми или пуб­ликова­ли его в интерне­те.

Из‑за уяз­вимос­ти утечь в сеть мог­ла самая раз­ная информа­ция, вклю­чая кон­фиден­циаль­ные дан­ные из докумен­тов, дан­ные о мес­тополо­жении, кон­фиден­циаль­ные URL-адре­са на скрин­шотах бра­узе­ра, номера бан­ков­ских карт, лица и дру­гие нежела­тель­ные под­робнос­ти на откро­вен­ных фото. Сло­вом, все то, что обыч­но обре­зают и замазы­вают на фотог­рафи­ях и скрин­шотах.

Вско­ре пос­ле рас­кры­тия дан­ных об ори­гиналь­ной проб­леме выяс­нилось, что эта уяз­вимость пред­став­ляет опас­ность и для инс­тру­мен­тов Snipping Tool и Snip and Sketch в Windows 10 и 11. В дан­ном слу­чае точ­но так же воз­можно час­тично вос­ста­новить ори­гиналь­ный вид ранее обре­зан­ных кар­тинок.

Эк­спер­ты про­демонс­три­рова­ли успешное вос­ста­нов­ление изоб­ражений в фор­мате PNG и допус­тили, что то же самое мож­но про­делать и с фай­лами JPG.

В ито­ге проб­леме был прис­воен иден­тифика­тор CVE-2023-28303. В Windows 11 для ее устра­нения сле­дует обно­вить Snipping Tool до вер­сии 11.2302.20.0, а в Windows 10 патч получил Snip and Sketch вер­сии 10.2008.3001.0.

Те­перь при обрезке изоб­ражения и переза­писи исходно­го фай­ла инс­тру­мент уда­ляет неис­поль­зуемые дан­ные кор­рек­тно, а не помеща­ет их в конец фай­ла, пос­ле IEND.

На 7% снизилась скорость мобильного интернета в РФ

  • По дан­ным TelecomDaily, в фев­рале 2023 года ско­рость мобиль­ного интерне­та в реги­онах Рос­сии сни­зилась на 7% по срав­нению с пре­дыду­щим годом (до 18,3 Мбит/с). При этом в Мос­кве ско­рость мобиль­ного интерне­та вырос­ла на 32% до 34,7 Мбит/с.

  • Ис­сле­дова­тели объ­ясня­ют ухуд­шение дос­тупа дефици­том сетево­го обо­рудо­вания и уста­нов­кой новых базовых стан­ций в пер­вую оче­редь в круп­ных городах. Гла­ва TelecomDaily Денис Кус­ков отме­чает, что сетевое обо­рудо­вание пос­тепен­но уста­рева­ет и тре­бует модер­низации, а склад­ские запасы не без­гра­нич­ны. Имен­но поэто­му рас­тет раз­рыв в качес­тве интернет‑дос­тупа меж­ду сто­лицей и реги­она­ми. Опе­рато­ры наращи­вают про­пус­кную спо­соб­ность сетей мед­леннее, чем рас­тет интернет‑тра­фик.

 

Дроны DJI раскрывают локацию операторов

Спе­циалис­ты из Рур­ско­го уни­вер­ситета в Бохуме и Цен­тра информа­цион­ной безопас­ности име­ни Гель­мголь­ца в Гер­мании (CISPA) рас­ска­зали, что им уда­лось рас­шифро­вать сиг­налы, переда­ваемые дро­нами DJI. Ока­залось, что устрой­ства тран­сли­руют не толь­ко свои GPS-коор­динаты и уни­каль­ный ID дро­на, но и GPS-коор­динаты сво­его опе­рато­ра.

Ис­сле­дова­тели пишут, что такие девай­сы ста­новят­ся все вос­тре­бован­нее в зонах боевых дей­ствий, ведь они могут вес­ти наб­людение на боль­шой высоте, про­водить раз­ведку и даже исполь­зовать­ся как ору­жие, тог­да как их опе­ратор надеж­но скрыт на рас­сто­янии до нес­коль­ких километ­ров от дро­на.

Од­нако ока­залось, что мес­тополо­жение пилотов не такая уж боль­шая тай­на. Фак­тичес­ки любой человек, у которо­го есть прос­тое и дешевое ради­ообо­рудо­вание, может перех­ватить сиг­налы дро­нов и рас­шифро­вать их, таким обра­зом получив коор­динаты пилота.

В сво­ем док­ладе уче­ные рас­ска­зыва­ют, что им уда­лось рас­шифро­вать ради­осиг­налы дро­нов DJI и декоди­ровать исполь­зуемый ими ради­опро­токол DroneID. Деконс­тру­иро­вав сиг­налы, иссле­дова­тели уви­дели, что каж­дый дрон DJI переда­ет по про­токо­лу DroneID не толь­ко свои GPS-коор­динаты и уни­каль­ный иден­тифика­тор дро­на, но и GPS-коор­динаты сво­его опе­рато­ра.

Ис­ходно сис­тема DroneID ком­пании DJI соз­давалась для того, что­бы поз­волить пра­витель­ствам, регули­рующим орга­нам и пра­воох­раните­лям кон­тро­лиро­вать бес­пилот­ники и пре­дот­вра­щать зло­упот­ребле­ния ими. Но хакеры и ИБ‑иссле­дова­тели уже дав­но говорят о том, что DroneID не зашиф­рована и откры­та для любого, кто спо­собен при­нимать ради­осиг­налы.

Так, DroneID уже под­верга­лась кри­тике прош­лой вес­ной, ког­да укра­инские влас­ти рас­кри­тико­вали ком­панию за то, что рос­сий­ские воен­ные исполь­зуют дро­ны DJI для наведе­ния ракет, а так­же опре­деля­ют мес­тонахож­дение опе­рато­ров укра­инских дро­нов DJI по их ради­осиг­налам. В ответ на это ком­пания вооб­ще заяви­ла о недопус­тимос­ти исполь­зования сво­их пот­ребитель­ских бес­пилот­ников в воен­ных целях, а затем прек­ратила про­дажи устрой­ств как в Рос­сии, так и на Укра­ине.

При этом китай­ский про­изво­дитель уже дав­но про­дает государс­твен­ным регуля­торам и пра­воох­ранитель­ным орга­нам спе­циаль­ное устрой­ство Aeroscope, которое поз­воля­ет перех­ватывать и декоди­ровать дан­ные DroneID, опре­деляя мес­тополо­жение любого дро­на и его опе­рато­ра на рас­сто­янии до 48 км.

Ра­нее в ком­пании под­черки­вали, что про­токол DroneID зашиф­рован и, сле­дова­тель­но, недос­тупен для тех, у кого нет устрой­ства Aeroscope, которое любой жела­ющий при­обрести прос­то не смо­жет. Одна­ко поз­же ИБ‑иссле­дова­тель Кевин Финис­терре (Kevin Finisterre) про­демонс­три­ровал перех­ват некото­рых дан­ных DroneID при помощи сво­бод­но дос­тупно­го SDR Ettus. В ито­ге пред­ста­витель DJI приз­нал в беседе с жур­налис­тами, что переда­чи на самом деле не зашиф­рованы.

В сво­ем док­ладе немец­кие уче­ные про­демонс­три­рова­ли, что сиг­налы дро­нов дей­стви­тель­но могут быть рас­шифро­ваны и про­чита­ны и без вся­кого Aeroscope, что поз­воля­ет прос­лушивать DroneID для точ­ного опре­деле­ния положе­ния как самого бес­пилот­ника, так и его опе­рато­ра.

В качес­тве доказа­тель­ства сво­их выводов иссле­дова­тель­ская груп­па опуб­ликова­ла на GitHub про­тотип инс­тру­мен­та для получе­ния и рас­шифров­ки дан­ных DroneID.

Ис­сле­дова­тели пош­ли даже даль­ше, чем Финис­терре: они изу­чили про­шив­ку дро­на DJI и его ради­освязь, отре­вер­сили DroneID и соз­дали инс­тру­мент, который может при­нимать переда­чи DroneID с помощью уже упо­мяну­того выше Ettus или более дешево­го HackRF, который сто­ит все­го нес­коль­ко сотен дол­ларов (по срав­нению с 1000+ дол­ларов за устрой­ства Ettus). В ито­ге это поз­воля­ет выпол­нять все дос­тупные Aeroscope дей­ствия без него самого.

Хо­тя иссле­дова­тели тес­тирова­ли перех­ват сиг­налов лишь на рас­сто­янии от 15 до 25 футов (от 4,5 до 7,5 м), они отме­чают, что даже не пытались уве­личить рас­сто­яние, так как его воз­можно без тру­да рас­ширить с помощью допол­нитель­ных тех­ничес­ких решений.

Те­перь ИБ‑экспер­ты и СМИ пред­полага­ют, что, незави­симо от мотивов, которы­ми ком­пания DJI руководс­тво­валась, соз­давая DroneID и рек­ламируя Aeroscop как единс­твен­но под­ходящее устрой­ство для перех­вата сиг­налов, дос­тупность информа­ции о мес­тополо­жении опе­рато­ра дро­на и тот факт, что эти дан­ные мож­но лег­ко перех­ватить (без вся­кого Aeroscope), ока­жут серь­езное вли­яние на исполь­зование квад­рокоп­теров в зонах боевых дей­ствий и дру­гих враж­дебных усло­виях.

 

В США пытаются запретить TikTok

В начале мар­та комитет палаты пред­ста­вите­лей кон­грес­са США при­нял законоп­роект, который может поз­волить пре­зиден­ту пол­ностью зап­ретить TikTok в стра­не. В кон­це 2022 года соц­сеть уже зап­ретили уста­нав­ливать на государс­твен­ные устрой­ства более чем в 20 шта­тах, а некото­рые уни­вер­ситеты заб­локиро­вали его в Wi-Fi-сетях сво­их кам­пусов.

По­лити­ки говорят, что TikTok, при­над­лежащий китай­ской ком­пании ByteDance и нас­читыва­ющий 150 мил­лионов поль­зовате­лей в США, может угро­жать наци­ональ­ной безопас­ности стра­ны.

«Зачем впус­кать тро­янско­го коня в свою кре­пость? Зачем прив­носить эту воз­можность в США, ког­да китай­цы могут манипу­лиро­вать дан­ными, которые мы видим, и либо вклю­чать в них то, что они хотят показать нашему населе­нию (в том чис­ле матери­алы, вызыва­ющие раз­ногла­сия в общес­тве), либо уда­лять то, что выс­тавля­ет их в пло­хом све­те и что они не хотели бы показать аме­рикан­ско­му народу?»

— такими воп­росами задавал­ся Роб Джойс, гла­ва отде­ла кибер­безопас­ности в АНБ, на кон­ферен­ции Silverado Accelerator Conference, про­шед­шей в кон­це мар­та.

 

Журналисту прислали флешку с бомбой

По­лиция Эква­дора рас­сле­дует мас­совую ата­ку на меди­аор­ганиза­ции по всей стра­не. Жур­налист и ведущий Ecuavisa был ранен пос­ле того, как при под­клю­чении к компь­юте­ру взор­валась USB-флеш­ка, которую он получил по поч­те. Такие же девай­сы были отправ­лены в редак­ции еще как минимум пяти эква­дор­ских СМИ.

Гла­ва отде­ла уго­лов­ных рас­сле­дова­ний наци­ональ­ной полиции Эква­дора Хавь­ер Чан­го Льере­на (Xavier Chango Llerena) заявил, что влас­ти обна­ружи­ли кон­верты с пред­полага­емы­ми взрыв­ными устрой­ства­ми в редак­циях еще четырех СМИ: двух в Гуаяки­ле и двух в Кито. Еще одна взры­воопас­ная флеш­ка была най­дена на скла­де ком­пании по дос­тавке посылок.

В резуль­тате взры­ва USB-накопи­теля пос­тра­дав­ший жур­налист Ecuavisa Ленин Арти­еда (Lenin Artieda) получил трав­мы рук и лица. По дан­ным полиции, Арти­еде повез­ло — взор­валась толь­ко полови­на заложен­ного в USB-накопи­тель заряда, и исход мог быть более печаль­ным, если бы все прош­ло так, как пла­ниро­вали зло­умыш­ленни­ки.

Так­же сооб­щает­ся, что акти­вация взрыв­ного устрой­ства мог­ла про­изой­ти от элек­три­чес­кого заряда, который флеш­ка получи­ла при под­клю­чении. По сло­вам Льере­ны, накопи­тель мог содер­жать гек­соген, хотя это пока не под­твержде­но лабора­тор­ным ана­лизом.

Ор­ганиза­ция по защите инте­ресов прес­сы и сво­боды сло­ва Fundamedios осу­дила это нападе­ние и сооб­щила, что еще минимум трое жур­налис­тов, в том чис­ле из TC Televisión, Teleamazonas и радио Exa FM, получи­ли по поч­те такие USB-накопи­тели и пись­ма с угро­зами.

В час­тнос­ти, Аль­варо Росеро (Álvaro Rosero), работа­ющий на ради­останции Exa FM, получил кон­верт с ана­логич­ной флеш­кой 15 мар­та 2023 года. Он отдал устрой­ство сво­ему про­дюсе­ру, который исполь­зовал кабель с адап­тером для под­клю­чения флеш­ки к компь­юте­ру. В этот раз накопи­тель не взор­вался. Полиция уста­нови­ла, что в устрой­стве содер­жалась взрыв­чатка, но из‑за адап­тера, исполь­зован­ного про­дюсе­ром, заряд не акти­виро­вал­ся.

ИБ‑спе­циалист и инже­нер Май­кл Гро­вер (Michael Grover), так­же извес­тный под ником MG, которо­го мно­гие зна­ют как авто­ра вре­донос­ного кабеля O.MG, де­монс­три­ровал взры­вающиеся USB-флеш­ки еще в 2018 году (исклю­читель­но как PoC и в качес­тве шут­ки), а мы тог­да пос­вятили иссле­дова­ниям MG боль­шую статью.

«Даже малень­кий флеш‑накопи­тель опа­сен с чем‑то вро­де „сем­текса“ на бор­ту и дос­таточ­но быс­тро­дей­ству­ющим запалом. Ваша рука будет находить­ся пря­мо на накопи­теле, ког­да на него будет подано питание, — объ­яснил Гро­вер теперь. — Не могу ска­зать, исполь­зовались ли такие ата­ки в реаль­нос­ти, но меня сов­сем не уди­вит, если исполь­зовались. Я знаю нес­коль­ко изда­ний, где всю поч­ту ска­ниру­ют на наличие взрыв­чатых веществ и дру­гих опас­ных пред­метов».

Ис­сле­дова­тель говорит, что подоб­ные ата­ки, к сожале­нию, могут быть весь­ма эффектив­ными для тер­рорис­тов. MG наде­ется, что про­изо­шед­шее вынудит боль­шее количес­тво изда­ний тща­тель­но про­верять вхо­дящую кор­респон­денцию.

Кто имен­но посыла­ет такой «сиг­нал» жур­налис­там, пока оста­ется неяс­ным. Fundamedios пишет, что одно из сооб­щений, соп­ровож­давших опас­ную флеш­ку, было нап­равле­но про­тив неус­танов­ленной полити­чес­кой груп­пы, дру­гое гла­сило, что на накопи­теле пред­став­лены матери­алы, которые разоб­лачат Correísmo (эква­дор­ское полити­чес­кое дви­жение, наз­ванное в честь быв­шего пре­зиден­та Рафа­эля Кор­реа). Кро­ме того, пос­ледние нес­коль­ко лет в стра­не наб­люда­ется всплеск прес­тупнос­ти, который пре­зидент Гиль­ермо Лас­со свя­зыва­ет с незакон­ным обо­ротом нар­котиков (если точ­нее, с деятель­ностью нар­кокар­телей).

Продажа доступов к сетям предприятий

  • Эк­спер­ты Positive Technologies про­вели иссле­дова­ние киберуг­роз 2022 года, акту­аль­ных для про­мыш­ленных орга­низа­ций. Выяс­нилось, что количес­тво дос­тупов к инфраструк­туре орга­низа­ций из этой сфе­ры, выс­тавлен­ных на про­дажу в 2022 году, вырос­ло с 86 до 122 — более чем на 40%.

  • Тор­говля дос­тупами сос­тавила 75% всех объ­явле­ний, отно­сящих­ся к про­мыш­леннос­ти, и их сто­имость обыч­но колеб­лется от 500 до 5000 дол­ларов США.

  • Ин­дус­три­аль­ный сек­тор прив­лека­ет лег­ким заработ­ком даже малок­валифи­циро­ван­ных прес­тупни­ков: они получа­ют пер­воначаль­ный дос­туп, а затем про­дают его более ком­петен­тным зло­умыш­ленни­кам для даль­нейше­го раз­вития ата­ки.

  • На про­тяже­нии пос­ледних четырех лет этот сек­тор вхо­дит в трой­ку самых ата­куемых отраслей: каж­дая десятая успешная ата­ка на орга­низа­ции при­ходит­ся на про­мыш­ленные пред­при­ятия.

  • В общей слож­ности в про­мыш­ленных ком­пани­ях было зафик­сирова­но 223 инци­ден­та, выз­ванных ата­ками зло­умыш­ленни­ков, и это на 7% боль­ше, чем в 2021 году. Боль­ше все­го инци­ден­тов (75) приш­лось на вто­рой квар­тал 2022 года, и поч­ти все ата­ки (97%) на орга­низа­ции это­го сек­тора были целевы­ми.

  • В боль­шинс­тве атак (70%) хакеры при­меня­ли вре­донос­ное ПО, поч­ти в полови­не (44%) — методы соци­аль­ной инже­нерии, а еще в 43% слу­чаев экс­плу­ати­рова­ли уяз­вимос­ти ПО.

  • 56% всех успешных атак в этой сфе­ре при­вели к утеч­кам дан­ных, которые в пер­вую оче­редь зат­ронули све­дения, содер­жащие ком­мерчес­кую тай­ну и пер­сональ­ную информа­цию.

 

Выявлены уязвимости в TPM 2.0

Эк­спер­ты из ком­пании Quarkslab обна­ружи­ли две серь­езные уяз­вимос­ти в спе­цифи­кации биб­лиоте­ки Trusted Platform Module (TPM) 2.0. Проб­лемы могут поз­волить аутен­тифици­рован­ному локаль­ному ата­кующе­му переза­писать защищен­ные дан­ные в TPM, а так­же выпол­нить про­изволь­ный код. Иссле­дова­тели пре­дуп­режда­ют, что эти проб­лемы могут зат­рагивать мил­лиар­ды устрой­ств.

Уяз­вимос­ти получи­ли иден­тифика­торы CVE-2023-1017 (чте­ние out-of-bounds) и CVE-2023-1018 (запись out-of-bounds). Обе проб­лемы свя­заны с обра­бот­кой парамет­ров для некото­рых команд TPM и поз­воля­ют зло­умыш­ленни­ку экс­плу­ати­ровать их, отправ­ляя TPM вре­донос­ные коман­ды для выпол­нения кода.

Сог­ласно бюл­летеню безопас­ности, выпущен­ному Trusted Computing Group, раз­работ­чиком спе­цифи­кации TPM, эти уяз­вимос­ти, свя­зан­ные с перепол­нени­ем буфера, могут при­вес­ти к рас­кры­тию информа­ции или повыше­нию при­виле­гий. Ито­говое вли­яние проб­лем зависит от того, как про­изво­дитель реали­зовал работу с кон­крет­ной областью памяти: явля­ется ли она неис­поль­зуемой или содер­жит опе­ратив­ные дан­ные.

Спе­циалис­ты Quarkslab говорят, что круп­ные тех­ничес­кие пос­тавщи­ки, орга­низа­ции, исполь­зующие кор­поратив­ные компь­юте­ры, сер­веры, IoT-устрой­ства и встро­енные сис­темы, вклю­чающие TPM, могут пос­тра­дать от этих уяз­вимос­тей. В целом же, по сло­вам иссле­дова­телей, баги «могут зат­рагивать мил­лиар­ды устрой­ств».

Эк­спер­ты CERT уже заяви­ли, что в течение нес­коль­ких месяцев информи­рова­ли пос­тавщи­ков о багах, стре­мясь повысить осве­дом­ленность и умень­шить пос­ледс­твия. К сожале­нию, в ито­ге лишь нес­коль­ко орга­низа­ций под­твер­дили, что они зат­ронуты CVE-2023-1017 и CVE-2023-1018.

По­ка Lenovo — единс­твен­ный круп­ный OEM-вен­дор, выпус­тивший собс­твен­ные рекомен­дации по безопас­ности и пре­дуп­редив­ший, что CVE-2023-1017 вли­яет на не­кото­рые из сис­тем ком­пании, работа­ющие на Nuvoton TPM 2.0.

В CERT пре­дуп­режда­ют, что экс­плу­ата­ция этих уяз­вимос­тей либо поз­воля­ет получить дос­туп к кон­фиден­циаль­ным дан­ным для чте­ния, либо дает воз­можность переза­писать обыч­но защищен­ные дан­ные, дос­тупные толь­ко для TPM (нап­ример, крип­тогра­фичес­кие клю­чи).

Всем зат­ронутым вен­дорам необ­ходимо перей­ти на исправ­ленную вер­сию спе­цифи­кации:

  • TMP 2.0 v1.59 Errata вер­сии 1.4 или выше;

  • TMP 2.0 v1.38 Errata вер­сии 1.13 или выше;

  • TMP 2.0 v1.16 Errata вер­сии 1.6 или выше.

Поль­зовате­лям рекомен­дует­ся как мож­но ско­рее при­менить обновле­ния, выпущен­ные Trusted Computing Group, а так­же дру­гими пос­тавщи­ками.

В вычис­литель­ных сре­дах с высокой сте­пенью надеж­ности поль­зовате­лям так­же рекомен­дуют рас­смот­реть воз­можность исполь­зования TPM Remote Attestation для обна­руже­ния любых изме­нений и обес­печения защиты TPM от взло­ма.

 

На 39% компьютеров АСУ заблокированы вредоносные объекты

  • Ана­лити­ки Kaspersky ICS CERT под­счи­тали, что во вто­рой полови­не 2022 года вре­донос­ные объ­екты были заб­локиро­ваны на 39% компь­юте­ров сис­тем авто­мати­зации в Рос­сии.

  • Ху­же того, Рос­сия вош­ла в трой­ку лидеров в рей­тин­ге реги­онов мира по доле заб­локиро­ван­ных вре­донос­ных объ­ектов на компь­юте­рах АСУ. Рост по срав­нению с пер­вым полуго­дием сос­тавил 9 про­цен­тных пун­ктов — это наибо­лее зна­читель­ное изме­нение сре­ди всех иссле­дуемых реги­онов.

  • Эк­спер­ты свя­зыва­ют этот рост с уве­личе­нием доли компь­юте­ров АСУ, которые были ата­кова­ны вре­донос­ными объ­екта­ми из интерне­та: их количес­тво вырос­ло на 12 про­цен­тных пун­ктов по срав­нению с пер­вым полуго­дием. К таким угро­зам отно­сят­ся в том чис­ле вре­донос­ные скрип­ты и фишин­говые стра­ницы (JS и HTML). Они были заб­локиро­ваны поч­ти на каж­дом пятом компь­юте­ре АСУ (18%).
 

Утекли данные «СберСпасибо»

ИБ‑иссле­дова­тели сооб­щили, что в откры­том дос­тупе появи­лись две час­ти дам­па, пред­положи­тель­но получен­ного из мобиль­ного при­ложе­ния бонус­ной прог­раммы «Сбер­Спа­сибо» (spasibosberbank.ru).

По дан­ным спе­циалис­тов Data Leakage & Breach Intelligence (DLBI), информа­цию слил тот же зло­умыш­ленник, который сто­ит за недав­ними утеч­ками дан­ных сер­висов «Сбер­Пра­во» и «Сбер­Логис­тика». В общей слож­ности были обна­родо­ваны 51 977 405 уни­каль­ных номеров телефо­нов и 3 298 456 уни­каль­ных email-адре­сов.

Струк­тура обо­их сли­вов сов­пада­ет: в дам­пах содер­жатся номера телефо­нов, даты рож­дения, даты регис­тра­ции в сер­висе, дата пос­ледне­го вхо­да, а так­же хеширо­ван­ные (SHA-1 без соли) номера бан­ков­ских карт, как основной, так и допол­нитель­ных.

Еще во вре­мя пер­вого сли­ва экспер­ты пре­дуп­редили, что, хотя номера бан­ков­ских карт хра­нят­ся в одном из фай­лов в виде хеша, из‑за исполь­зования уста­рев­шего алго­рит­ма SHA-1 «вос­ста­новить» реаль­ные зна­чения карт не сос­тавит никако­го тру­да (при помощи обыч­ного перебо­ра). При этом толь­ко в пер­вом дам­пе спе­циалис­ты нас­читали 100 092 292 уни­каль­ных хеша.

Вы­бороч­ная про­вер­ка номеров бан­ков­ских карт (через перево­ды с кар­ты на кар­ту) показа­ла, что часть из них дей­стви­тель­ны и перевод на них воз­можен, а часть карт, видимо, уже неак­тивна, так как перевод невоз­можен.

Пред­ста­вите­ли «Сбер­Спа­сибо» сооб­щили СМИ, что про­верят информа­цию о воз­можной утеч­ке:

«Мы про­веря­ем информа­цию и ее дос­товер­ность. Подоб­ные сооб­щения воз­ника­ют час­то и, как пра­вило, свя­заны с мошен­никами, которые пыта­ются про­дать ком­пиляции ста­рых баз дан­ных под видом ори­гиналь­ных», — заяви­ли в ком­пании.

* При­над­лежит ком­пании Meta, чья деятель­ность приз­нана экс­тре­мист­ской и зап­рещена в Рос­сии.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии