MEGANews. Самые важные события в мире инфосека за август

Kali Linux получила девять новых инструментов

Раз­работ­чики Offensive Security пред­ста­вили Kali Linux 2023.3, третью вер­сию дис­три­бути­ва в 2023 году. Новин­ка уже дос­тупна для заг­рузки и содер­жит девять новых инс­тру­мен­тов, а так­же ряд улуч­шений, вклю­чая модер­низиро­ван­ную внут­реннюю инфраструк­туру, обновлен­ные Kali Autopilot и Kali NetHunter.

В этом выпус­ке появи­лось не так мно­го новых фун­кций, а боль­шинс­тво изме­нений были внут­ренни­ми, нап­равлен­ными на повыше­ние общей надеж­ности про­екта и его опти­миза­цию.

Так, по сло­вам раз­работ­чиков, в этом выпус­ке они в основном сос­редото­чились на инфраструк­туре ОС, что­бы она соот­ветс­тво­вала Debian 12, вышед­шему летом текуще­го года.

«С релизом Debian 12, который вышел ранее этим летом, мы вос­поль­зовались воз­можностью перера­ботать, переп­роек­тировать и перес­тро­ить нашу инфраструк­туру. Это очень мас­штаб­ная работа, и не сто­ит удив­лять­ся тому, что она еще не завер­шена.
Имен­но на этом мы сос­редото­чились в этом релиз‑цик­ле (а так­же, к сожале­нию, в сле­дующем). Наде­емся, что боль­шая часть работы будет завер­шена к кон­цу года (что­бы мы мог­ли вер­нуть­ся к тому, что получа­ется у нас луч­ше все­го!)», — сооб­щают авто­ры Kali.

Нев­зирая на эти заяв­ления раз­работ­чиков, Kali Linux 2023.3 получи­ла девять новых инс­тру­мен­тов:

• Calico — натив­ный облачный нет­воркинг и сетевая безопас­ность;
• cri-tools — CLI и инс­тру­мен­ты валида­ции для kubelet Container Runtime Interface;
• Hubble — наб­людение за сетью, сер­висами и безопас­ностью для Kubernetes с исполь­зовани­ем eBPF;
• ImHex — hex-редак­тор для реверс‑инже­неров, прог­раммис­тов и людей, «которые ценят свои гла­за при работе в три часа ночи»;
• kustomize — кас­томиза­ция кон­фигура­ций Kubernetes YAML;
• Rekono — плат­форма авто­мати­зации, объ­еди­няющая раз­личные хакер­ские инс­тру­мен­ты для пен­тестин­га;
• rz-ghidra — глу­бокая интегра­ция деком­пилято­ра Ghidra и дизас­сем­бле­ра Sleigh для Rizin;
• unblob — извле­чение фай­лов из кон­тей­неров любых фор­матов;
• Villain — C2-фрей­мворк, который может работать с нес­коль­кими реверс‑шел­лами и рас­ширять их фун­кци­ональ­ность.

Кро­ме того, в начале 2023 года раз­работ­чики пред­ста­вили фрей­мворк для авто­мати­чес­ких атак Kali Autopilot. Теперь коман­да сооб­щает, что про­дол­жает работу над ним, добав­ляя и изме­няя фун­кци­ональ­ность на осно­ве отзы­вов поль­зовате­лей:

«За пос­ледние шесть месяцев этот инс­тру­мент про­шел боль­шой путь, и мы не пла­ниру­ем сни­жать тем­пы. Как всег­да, его фор­миру­ет сооб­щес­тво; идеи, воз­можнос­ти и нап­равле­ния раз­вития могут быть пред­став­лены и сфор­мирова­ны вами. Если вы раз­работа­ли скрип­ты для атак на уяз­вимые машины, мы будем рады раз­местить их в нашем Kali Purple Hub».

Так­же отме­чает­ся, что Kali NetHunter получил допол­нитель­ные под­держи­ваемые мобиль­ные ядра, вклю­чая Nothing Phone (1) для Android 12 (Snow Cone) и 13 (Tiramisu), а так­же Samsung Galaxy A7 для LineageOS 18.

Сразу три атаки угрожают современным процессорам

Ав­густ ока­зал­ся богат на «про­цес­сорные» side-channel-ата­ки, которые пред­став­ляют угро­зу поч­ти для всех сов­ремен­ных CPU.

Пер­вой из них ста­ла проб­лема Collide+Power (CVE-2023-20583), о которой рас­ска­зали уче­ные, ранее учас­тво­вав­шие в обна­руже­нии нашумев­ших проб­лем Spectre и Meltdown.

Но­вая side-channel-ата­ка может при­вес­ти к утеч­ке дан­ных, и ее срав­нива­ют с проб­лемой Meltdown, отно­ся к уяз­вимос­тям типа Microarchitectural Data Sampling (MDS). По сути, Collide+Power пред­став­ляет собой уни­вер­саль­ную соф­твер­ную ата­ку, которая при­мени­ма к любому при­ложе­нию, любому типу дан­ных и работа­ет про­тив устрой­ств на базе про­цес­соров Intel, AMD и ARM.

Collide+Power осно­выва­ется на ана­лизе энер­гопот­ребле­ния про­цес­сора для выяв­ления содер­жимого кеш‑памяти про­цес­сора. Ата­ка может, к при­меру, помочь рас­крыть клю­чи шиф­рования, если зло­умыш­ленник име­ет пос­тоян­ный дос­туп к обо­рудо­ванию жер­твы или к сре­де облачных вычис­лений, которая пре­дос­тавля­ет обо­рудо­вание раз­ным тенан­там.

Ис­сле­дова­тели объ­ясни­ли, что Collide+Power слож­но наз­вать фак­тичес­кой уяз­вимостью. По сути, ата­ка прос­то зло­упот­ребля­ет тем, что некото­рые ком­понен­ты ЦП пред­назна­чены для обме­на дан­ными из раз­ных защищен­ных областей. Зло­умыш­ленник может исполь­зовать эти общие ком­понен­ты, что­бы объ­еди­нить свои дан­ные с дан­ными поль­зователь­ских при­ложе­ний. Для это­го зло­умыш­ленник изме­ряет энер­гопот­ребле­ние про­цес­сора, изме­няя под­кон­троль­ные ему дан­ные, и выяв­ляет дан­ные, свя­зан­ные с поль­зователь­ски­ми при­ложе­ниями.

Вто­рая проб­лема, раз­работан­ная сот­рудни­ком ком­пании Google, — про­цес­сорная ата­ка для све­жей уяз­вимос­ти Downfall (CVE-2022-40982), которая пред­став­ляет угро­зу для нес­коль­ких семей­ств мик­ропро­цес­соров Intel. Эта проб­лема тоже поз­воля­ет похищать пароли, клю­чи шиф­рования и лич­ные дан­ные (нап­ример, элек­трон­ные пись­ма, сооб­щения или бан­ков­скую информа­цию) поль­зовате­лей.

Downfall пред­став­ляет собой side-channel-ата­ку и исполь­зует баг типа transient execution. Такие ата­ки опас­ны для всех про­цес­соров Intel на мик­роар­хитек­турах от Skylake до Ice Lake. Экс­плу­ати­руя уяз­вимость, зло­умыш­ленник получа­ет воз­можность извле­кать кон­фиден­циаль­ную информа­цию, защищен­ную с помощью Software Guard eXtensions (SGX), аппа­рат­ного шиф­рования Intel, которое обыч­но отде­ляет код и дан­ные в памяти от соф­та в сис­теме.

Для осу­щест­вле­ния ата­ки Downfall тре­бует­ся, что­бы зло­умыш­ленник находил­ся в том же физичес­ком ядре про­цес­сора, что и жер­тва, но это обес­печива­ется сов­ремен­ной моделью shared-вычис­лений. При этом локаль­ная прог­рамма, нап­ример вре­донос­ное ПО, в теории тоже может исполь­зовать уяз­вимость для кра­жи кон­фиден­циаль­ной информа­ции.

Треть­ей спе­куля­тив­ной проб­лемой это­го месяца ста­ла ата­ка Inception (CVE-2023-20569), наз­ванная в честь одно­имен­ного филь­ма Крис­тофера Нолана и пред­став­ляющая собой проб­лему типа transient execution.

Эта side-channel-ата­ка, соз­данная груп­пой спе­циалис­тов из Швей­цар­ской выс­шей тех­ничес­кой шко­лы Цюриха, может исполь­зовать­ся про­тив любых про­цес­соров AMD Zen (от Zen 1 до Zen 4), вклю­чая пос­ледние модели. Inception так­же может при­вес­ти к утеч­ке дан­ных вро­де паролей и клю­чей шиф­рования.

Для соз­дания Inception экспер­ты объ­еди­нили уже извес­тную проб­лему Phantom speculation (CVE-2022-23825) с новой ата­кой, которой дали наз­вание Training in Transient Execution (TTE).

«Как в одно­имен­ном филь­ме, „Начало“ (Inception) зак­ладыва­ет в ЦП „идею“, пока тот в некото­ром смыс­ле „спит“, вынуж­дая его совер­шать неп­равиль­ные дей­ствия, осно­ван­ные на яко­бы самос­тоятель­но при­думан­ном опы­те. Исполь­зуя этот под­ход, Inception зах­ватыва­ет вре­мен­ный поток управле­ния инс­трук­циями воз­вра­та на всех про­цес­сорах AMD Zen», — объ­ясни­ли иссле­дова­тели.

По сути, эта проб­лема (она получи­ла иден­тифика­тор CVE-2023-20569) пред­став­ляет собой новый тип атак, который поз­воля­ет зас­тавить ЦП поверить в то, что инс­трук­ция XOR явля­ется инс­трук­цией рекур­сивно­го вызова. Это при­водит к перепол­нению буфера сте­ка воз­вра­та целевым адре­сом, кон­тро­лиру­емым зло­умыш­ленни­ком, и поз­воля­ет сли­вать про­изволь­ные дан­ные из неп­ривиле­гиро­ван­ных про­цес­сов, запущен­ных на любом про­цес­соре AMD Zen.

Никаких атак на «Госуслуги»

Выс­тупая на сам­мите «Рос­сия — Афри­ка», ген­дирек­тор ком­пании «Рос­телеком‑Солар» Игорь Ляпунов сооб­щил, что за пос­ледние пол­тора года не было ни одной кибера­таки на «Госус­луги».

На­пом­ним, что спе­циалис­ты «Рос­телеко­ма» отве­чают за безопас­ность пор­тала «Госус­луги» и за работу ЕСИА (Еди­ной сис­темы иден­тифика­ции и аутен­тифика­ции).

«В прош­лом году, в пер­вые месяцы начала СВО, мы наб­людали эффект, ког­да на бир­жах в дар­кне­те рас­про­дава­лись хакер­ские ресур­сы для атак на тер­риторию Рос­сии. Конеч­но, „Госус­луги“ явля­ются колос­саль­ным маг­нитом для хакеров. Это боль­шой вызов. За эти 1,5 года ни одной успешной кибера­таки и оста­нов­ки наших государс­твен­ных сер­висов не было», — заявил Ляпунов.

Утекли данные Duolingo и «ЛитРес»

Сре­ди круп­ных уте­чек дан­ных на рос­сий­ском рын­ке в августе мож­но было выделить два инци­ден­та: слив дан­ных поль­зовате­лей сер­виса элек­трон­ных книг «Лит­Рес» и пуб­ликацию информа­ции о 2,6 мил­лиона поль­зовате­лей Duolingo.

В слу­чае «Лит­Рес» хакеры выложи­ли в откры­тый дос­туп дан­ные поль­зовате­лей сер­виса. По информа­ции ана­лити­ков Data Leakage & Breach Intelligence, ответс­твен­ность за эту утеч­ку лежит на тех же зло­умыш­ленни­ках, которые рань­ше сли­ли в сеть дан­ные «Сбер­Логис­тики», обра­зова­тель­ного пор­тала GeekBrains, служ­бы дос­тавки Delivery Club и мно­гих дру­гих ком­паний.

Дамп, свя­зан­ный с «Лит­Рес», нас­читыва­ет 677 Мбайт и содер­жит 3 083 408 строк, но хакеры утвер­жда­ют, что в пол­ном дам­пе боль­ше 97 мил­лионов строк. В откры­тый дос­туп уже попали:

• имя, фамилия (не для всех);

• email-адре­са (590 тысяч уни­каль­ных адре­сов);

• хе­широ­ван­ные пароли (SHA-1 без соли).

Пред­ста­витель «Лит­Рес» под­твер­дил утеч­ку дан­ных кли­ентов, под­чер­кнув, что пла­теж­ная информа­ция поль­зовате­лей не пос­тра­дала. В ком­пании сооб­щили, что уже занима­ются рас­сле­дова­нием слу­чив­шегося.

Слив информа­ции о 2,6 мил­лиона поль­зовате­лей Duolingo, про­изо­шед­ший в кон­це месяца, выг­лядит ина­че. Дело в том, что на хакер­ском форуме была опуб­ликова­на информа­ция, соб­ранная при помощи скра­пин­га. Дамп вклю­чал обще­дос­тупные логины и име­на поль­зовате­лей, а так­же при­ват­ную информа­цию, в том чис­ле email-адре­са и внут­ренние дан­ные, свя­зан­ные с сер­висом Duolingo.

Хо­тя нас­тоящее имя и логин явля­ются обще­дос­тупной информа­цией и частью поль­зователь­ско­го про­филя Duolingo, утеч­ка email-адре­сов пред­став­ляет собой более серь­езную проб­лему, так как поз­воля­ет исполь­зовать обще­дос­тупные дан­ные в ата­ках.

Ин­терес­но, что в начале года этот же набор дан­ных про­дава­ли в дар­кне­те за 1500 дол­ларов США, а теперь дамп опуб­ликова­ли на новой вер­сии хакер­ско­го форума Breached, и хакеры оце­нили его все­го в восемь кре­дитов (внут­ренняя валюта сай­та, при­мер­но 2,13 дол­лара США).

Су­дя по все­му, дан­ные были соб­раны с помощью откры­того API, информа­ция о котором цир­кулиру­ет в сети как минимум с мар­та 2023 года. При­чем ИБ‑спе­циалис­ты дав­но пре­дуп­режда­ли об этой проб­леме и докумен­тирова­ли воз­можные спо­собы ее экс­плу­ата­ции.

Фак­тичес­ки этот API поз­воля­ет отправ­лять username и получать выход­ные дан­ные JSON, содер­жащие информа­цию из обще­дос­тупно­го про­филя поль­зовате­ля. Так­же мож­но ввес­ти адрес элек­трон­ной поч­ты и узнать, свя­зан ли он с дей­ству­ющей учет­ной записью Duolingo. Это поз­волило скра­перам «про­верить» мил­лионы email-адре­сов, которые фигури­рова­ли в дру­гих утеч­ках дан­ных, и свя­зать их с кон­крет­ными учет­ными запися­ми.

По дан­ным СМИ, зло­получ­ный API открыт до сих пор, даже пос­ле мно­жес­тва пуб­личных пре­дуп­режде­ний от экспер­тов и скра­пин­га дан­ных.

За год ИИ создал больше изображений, чем фотографы за 150 лет

• Ком­пания Everypixel Group сооб­щает, что в пос­ледний год количес­тво соз­данно­го ИИ кон­тента в сети неук­лонно рас­тет и уже мож­но говорить о сво­еоб­разных рекор­дах. Так, за пос­ледние пят­надцать месяцев популяр­ные ИИ‑решения (Midjourney, Stable Diffusion, DALL-E 2 и Adobe Firefly) сге­нери­рова­ли по зап­росам поль­зовате­лей более 15 мил­лиар­дов изоб­ражений.

• Для срав­нения иссле­дова­тели под­счи­тали, что фотог­рафам пот­ребова­лось поч­ти 150 лет, про­шед­ших с момен­та пер­вой фотог­рафии, сде­лан­ной в 1826 году, что­бы дос­тичь отметки в 15 мил­лиар­дов в 1975 году.

• Пос­ле запус­ка DALL-E 2 люди соз­дают в сред­нем 34 мил­лиона изоб­ражений в день.
• При этом око­ло 80% изоб­ражений (12,5 мил­лиар­да) были соз­даны с исполь­зовани­ем моделей, сер­висов, плат­форм и при­ложе­ний на осно­ве Stable Diffusion, который име­ет откры­тый исходный код.

Xiaomi блокирует установку Telegram в Китае

Об­наружи­лось, что теперь уста­нов­ка Telegram на устрой­ства Xiaomi бло­киру­ется с помощью MIUI. В Китае Xiaomi помеча­ет Telegram как опас­ное при­ложе­ние и бло­киру­ет из сооб­ражений безопас­ности.

Еще в 2022 году в MIUI добави­ли фун­кци­ональ­ность, бла­года­ря которой ОС получи­ла воз­можность помечать и бло­киро­вать запуск потен­циаль­но вре­донос­ных при­ложе­ний на устрой­ствах ком­пании. Эта фун­кция, офи­циаль­но пред­назна­чен­ная для защиты от мошен­ничес­тва и спам‑звон­ков, прак­тичес­ки сра­зу под­верга­лась кри­тике, так как поль­зовате­ли заподоз­рили, что это заву­али­рован­ная попыт­ка Xiaomi отсле­живать дей­ствия поль­зовате­лей, а так­же сот­рудни­чать с китай­ски­ми влас­тями, под­вергая цен­зуре кон­крет­ные при­ложе­ния.

Эти подоз­рения под­креп­лялись тем, что MIUI начала бло­киро­вать при­ложе­ния, которые поз­воляли поль­зовате­лям вно­сить глу­бокие изме­нения в сетевые нас­трой­ки устрой­ств.

Ес­ли при­ложе­ние счи­тает­ся вре­донос­ным или опас­ным, MIUI пыта­ется уда­лить его с устрой­ства и заб­локиро­вать уста­нов­ку. И недав­но MIUI ста­ла помечать как опас­ное при­ложе­ние Telegram и бло­киро­вать его уста­нов­ку в Китае.

Сог­ласно сооб­щени­ям поль­зовате­лей, если MIUI обна­ружи­вает мес­сен­джер, появ­ляет­ся пре­дуп­режде­ние:

«При­ложе­ние не прош­ло про­вер­ку безопас­ности Xiaomi. Это при­ложе­ние явля­ется мошен­ничес­ким, и его исполь­зование может при­вес­ти к таким рис­кам, как мошен­ничес­кие спи­сания или необос­нован­ные тра­ты. В целях безопас­ности рекомен­дует­ся акти­виро­вать меры защиты, что­бы обес­печить безопас­ность и защитить­ся от опас­ных при­ложе­ний».

Ис­торичес­ки китай­ские влас­ти стре­мились ввес­ти огра­ниче­ния и пря­мые зап­реты на работу мно­гих круп­ных плат­форм, вклю­чая Twitter, WhatsApp и Google. Так­же недав­но Китай обра­тил свое вни­мание на при­ложе­ния, которые облегча­ют обще­ние или обмен кон­тентом, — к их чис­лу отно­сит­ся и Telegram.

Хостинг Lolek закрыли

Пра­воох­ранитель­ные орга­ны зак­рыли извес­тный «пуленеп­робива­емый» хос­тинг Lolek (lolekhosted[.]net), арес­товали пять его адми­нис­тра­торов и кон­фиско­вали сер­веры, которые яко­бы исполь­зовались в ата­ках вымога­теля Netwalker.

Ши­роко извес­тный про­вай­дер «пуленеп­робива­емо­го» хос­тинга работал с 2009 года. Его упо­мина­ния час­то мож­но встре­тить в стать­ях об ано­ним­ных хос­тинго­вых плат­формах, и извес­тно, что хос­тинг базиро­вал­ся в Великоб­ритании, а его дата‑цен­тры раз­мещались в стра­нах Евро­пы.

«Пуленеп­робива­емые» хос­тинг‑про­вай­деры, как пра­вило, зак­рыва­ют гла­за на раз­меща­емый кли­ента­ми кон­тент и обе­щают сох­ранить их ано­ним­ность. Подоб­ные ком­пании извес­тны тем, что пре­дос­тавля­ют зло­умыш­ленни­кам IP-адре­са, сер­веры и домены для рас­простра­нения вре­донос­ных прог­рамм, фор­мирова­ния бот­нетов и выпол­нения дру­гих задач, свя­зан­ных с мошен­ничес­твом и кибера­така­ми.

Lolek рек­ламиро­вал­ся как «100%-но кон­фиден­циаль­ный хос­тинг» с пол­ным отсутс­тви­ем логов, то есть его соз­датели уве­ряли, что не фик­сиру­ют на сво­их сер­верах и сетевом обо­рудо­вании никакую активность, которая мог­ла бы исполь­зовать­ся для обви­нения кли­ентов в прес­тупле­ниях.

Как сооб­щили Евро­пол и Минис­терс­тво юсти­ции США, в Поль­ше были арес­тованы пять адми­нис­тра­торов сер­виса, а все сер­веры Lolek кон­фиско­ваны.

Ев­ропол заявил, что Lolek был зак­рыт, пос­коль­ку кибер­прес­тупни­ки исполь­зовали его ресур­сы для орга­низа­ции DDoS-атак, про­веде­ния спам‑кам­паний, рас­простра­нения инфости­леров, раз­мещения управля­ющих сер­веров и под­дель­ных интернет‑магази­нов.

Ми­нис­терс­тво юсти­ции США, в свою оче­редь, сооб­щило, что в адми­нис­три­рова­нии Lolek обви­няют граж­данина Поль­ши по име­ни Артур Кароль Гра­бов­ски (Artur Karol Grabowski). Хотя в нас­тоящее вре­мя неяс­но, был ли Гра­бов­ски одним из адми­нис­тра­торов хос­тинга, арес­тован­ных в Поль­ше, Минюст утвер­жда­ет, что он содей­ство­вал кибер­прес­тупнос­ти, поз­воляя кли­ентам Lolek регис­три­ровать­ся под вымыш­ленны­ми име­нами, час­то менять IP-адре­са сер­веров, а так­же уве­дом­лял кли­ентов о юри­дичес­ких зап­росах в их отно­шении.

Кро­ме того, счи­тает­ся, что Гра­бов­ски яко­бы помогал уже прек­ратив­шей свое сущес­тво­вание вымога­тель­ской груп­пиров­ке Netwalker, которая арен­довала у Lolek сер­веры, исполь­зовав­шиеся более чем в 50 ата­ках (для взло­ма сетей, хра­нения похищен­ных дан­ных и хакер­ских инс­тру­мен­тов).

В нас­тоящее вре­мя Гра­бов­ски предъ­явле­ны обви­нения в сго­воре с целью совер­шения компь­ютер­ного мошен­ничес­тва, сго­воре с целью совер­шения мошен­ничес­тва с исполь­зовани­ем элек­трон­ных средств свя­зи, а так­же в отмы­вании денег в меж­дународ­ных мас­шта­бах. В слу­чае приз­нания винов­ным по всем пун­ктам обви­нения ему гро­зит до 45 лет лишения сво­боды.

Бьёрн Страуструп дает советы разработчикам

Соз­датель язы­ка C++, автор мно­жес­тва книг и про­фес­сор компь­ютер­ных наук в Колум­бий­ском уни­вер­ситете Бьёрн Стра­уструп (Bjarne Stroustrup) дал интервью Honeypot.io, в котором, нап­ример, рас­ска­зал, что стал прог­раммис­том по ошиб­ке, полагая, что записы­вает­ся на курс прик­ладной матема­тики (на самом деле это был курс по информа­тике).

По прось­бе интервь­юеров Стра­уструп дал нес­коль­ко советов нынеш­нему поколе­нию прог­раммис­тов.

«Труд­но давать советы. Как минимум так же труд­но, как и их при­нимать.

Не пере­усердствуй­те со спе­циали­заци­ей. Не будь­те слиш­ком уве­рены в том, что вам извес­тно будущее. Будь­те гиб­кими и пом­ните, что карь­ера и работа — это дол­госроч­ная пер­спек­тива. Слиш­ком мно­го молодых людей дума­ют, что могут что‑то опти­мизи­ровать, а потом обна­ружи­вают, что пот­ратили пару лет или боль­ше на спе­циали­зацию, которая, веро­ятно, была не сов­сем пра­виль­ной. И в про­цес­се работы они выгора­ют, потому что не уде­ляли дос­таточ­но вре­мени друж­бе и жиз­ни вне компь­юте­ра.

Нель­зя прос­то кодить. Нуж­но так­же работать с куль­турой и спо­соба­ми выраже­ния идей. То есть я никог­да не жалел о вре­мени, пот­рачен­ном на исто­рию и матема­тику. Матема­тика отта­чива­ет ваш ум, исто­рия дает вам пред­став­ление о ваших огра­ниче­ниях и о том, что про­исхо­дит в мире. И поэто­му не будь­те слиш­ком уве­рены. Не спе­шите, ста­рай­тесь вес­ти более сба­лан­сирован­ную жизнь и будь­те готовы исполь­зовать пред­ста­вив­шиеся воз­можнос­ти».

Ссы­лаясь на свой собс­твен­ный опыт, Стра­уструп говорит, что необ­ходимо обла­дать широким набором навыков, что­бы мочь исполь­зовать раз­личные воз­можнос­ти, ког­да они появ­ляют­ся:

«Я занимал­ся клас­сичес­кой информа­тикой, ком­пилято­рами, занимал­ся нес­коль­кими язы­ками... Думаю, тог­да я знал око­ло двух десят­ков. Я занимал­ся архи­тек­турой машин, опе­раци­онны­ми сис­темами. И этот набор навыков ока­зал­ся полез­ным».

Джейлбрейк Tesla разблокировал платные функции

Ис­сле­дова­тели из Бер­лин­ско­го тех­ничес­кого уни­вер­ситета раз­работа­ли метод джей­лбрей­ка инфо­тей­нмент‑сис­тем на базе про­цес­соров AMD. Такие сис­темы исполь­зуют­ся во всех пос­ледних моделях авто­моби­лей Tesla, и иссле­дова­тели получи­ли воз­можность запус­кать на них любое ПО, а так­же раз­бло­киро­вать плат­ные фун­кции авто­моби­лей.

Соз­данная иссле­дова­теля­ми ата­ка поз­воля­ет извлечь уни­каль­ный ключ RSA, при­вязан­ный к железу (Tesla исполь­зует его для аутен­тифика­ции авто­моби­ля в сво­ей сер­висной сети), а так­же акти­виро­вать прог­рам­мно заб­локиро­ван­ные фун­кции, вклю­чая подог­рев сидений и Acceleration Boost, за которые вла­дель­цы Tesla обыч­но дол­жны пла­тить отдель­но. Осо­бо отме­чает­ся, что раз­бло­киро­вать таким спо­собом фун­кцию Full Self-Driving (FSD, зна­мени­тый «авто­пилот» Tesla) не получит­ся.

Эк­спер­ты обна­ружи­ли, что человек, име­ющий физичес­кий дос­туп к пла­те Infotainment and Connectivity ECU (ICE) авто­моби­ля, может исполь­зовать из­вес­тную ата­ку про­тив AMD Secure Processor (ASP), на котором стро­ится блок управле­ния инфо­тей­нмент‑сис­темами MCU-Z.

Взло­мать информа­цион­но‑раз­вле­катель­ную сис­тему уда­лось, опи­раясь на упо­мяну­тое прош­лое иссле­дова­ние, которое обна­ружи­вало воз­можность внед­рения оши­бок и извле­чения сек­ретов. Так как инфо­тей­нмент‑сис­тема Tesla осно­вана на уяз­вимом про­цес­соре AMD Zen 1, исполь­зование ранее обна­ружен­ных багов помог­ло осу­щес­твить ее джей­лбрейк.

«В нас­тоящее вре­мя реали­зовать нашу ата­ку смо­гут люди, которые обла­дают опре­делен­ными поз­нани­ями в области элек­трон­ного обо­рудо­вания, уме­ют обра­щать­ся с паяль­ником и могут при­обрести допол­нитель­ное обо­рудо­вание сто­имостью при­мер­но 100 дол­ларов, — рас­ска­зыва­ют экспер­ты. — Мы рекомен­дуем пла­ту Teensy 4.0, которую лег­ко исполь­зовать для атак voltage glitching с нашей опен­сор­сной про­шив­кой. Так­же пот­ребу­ется прог­рамма­тор SPI-Flash и логичес­кий ана­лиза­тор, который может помочь в отладке ата­ки».

Упо­мяну­тая тех­ника voltage glitching, так­же извес­тная как внед­рение оши­бок, поз­воля­ет получить root-дос­туп и запус­тить про­изволь­ное ПО на MCU-Z для раз­бло­киров­ки некото­рых плат­ных фун­кций авто. Более того, иссле­дова­тели утвер­жда­ют, что получен­ный таким спо­собом дос­туп будет прак­тичес­ки необ­ратимым.

«Получен­ные нами root-пра­ва поз­воля­ют вно­сить про­изволь­ные изме­нения в Linux, которые выдер­жат перезаг­рузки и обновле­ния», — говорят авто­ры ата­ки.

Кро­ме того, джей­лбрейк поз­воля­ет извлечь защищен­ный TPM ключ аттеста­ции, который Tesla исполь­зует для аутен­тифика­ции авто­моби­ля и про­вер­ки целос­тнос­ти его аппа­рат­ной сос­тавля­ющей, и перенес­ти его на дру­гой авто­мобиль. Иссле­дова­тели объ­ясня­ют, что это, нап­ример, может помочь исполь­зовать авто­мобиль в непод­держи­ваемых стра­нах или выпол­нить самос­тоятель­ный ремонт. Одна­ко это так­же может помочь зло­умыш­ленни­ку выдать свое авто за чье‑то дру­гое.

Ис­сле­дова­тели отме­тили, что ата­ку, ско­рее все­го, мож­но пре­обра­зовать в готовый «про­дукт», вро­де мод‑чипа, который будет исполь­зовать­ся для джей­лбрей­ка по прин­ципу plug-and-play. Сами экспер­ты чем‑то подоб­ным занимать­ся не пла­ниру­ют, так как с юри­дичес­кой и эко­номи­чес­кой точ­ки зре­ния это была бы «весь­ма сом­нитель­ная биз­нес‑модель».

Ав­торы джей­лбрей­ка уве­доми­ли автопро­изво­дите­ля о сво­их выводах, и ком­пания уже работа­ет над устра­нени­ем обна­ружен­ных проб­лем.

«Tesla сооб­щила нам, что наш PoC для вклю­чения обог­рева зад­них сидений опи­рает­ся на ста­рую вер­сию про­шив­ки. В более новых вер­сиях про­шив­ки обновле­ние это­го эле­мен­та кон­фигура­ции воз­можно толь­ко при наличии дей­стви­тель­ной под­писи Tesla (про­верен­ной/под­твержден­ной шлю­зом). Таким обра­зом, хотя наши ата­ки заложи­ли важ­ную осно­ву для экспе­римен­тов с сис­темой в целом, для вклю­чения обог­рева зад­них сидений или любой дру­гой заб­локиро­ван­ной фун­кции пот­ребу­ется еще один прог­рам­мный или аппа­рат­ный экс­пло­ит и ата­ка на шлюз».

Тем не менее ата­ка на извле­чение клю­ча все еще работа­ет даже с новей­шей про­шив­кой Tesla.

Anonfiles закрылся

По­пуляр­ный сер­вис для ано­ним­ного обме­на фай­лами Anonfiles зак­рылся. Его адми­нис­тра­торы заяви­ли, что боль­ше не могут справ­лять­ся с огромным количес­твом зло­упот­ребле­ний со сто­роны поль­зовате­лей.

Де­ло в том, что Anonfiles был одним из наибо­лее популяр­ных фай­лооб­менни­ков сре­ди прес­тупни­ков, которые исполь­зовали его для обме­на образца­ми укра­ден­ных дан­ных, логинов и паролей, а так­же матери­алов, защищен­ных автор­ским пра­вом. Как ока­залось, это не устра­ива­ло его адми­нис­тра­торов.

При этом не раз отме­чалось (1, 2, 3), что сайт имел дело с сом­нитель­ными рек­ламода­теля­ми, которые неред­ко перенап­равля­ли людей на стра­ницы с вре­донос­ным ПО и нежела­тель­ными рас­ширени­ями для бра­узе­ров Google Chrome и Firefox, а так­же в фаль­шивую тех­ничес­кую под­дер­жку.

Нап­ример, при попыт­ке ска­чать файл с Anonfiles поль­зовате­лей сна­чала пе­ренап­равля­ли на сайт, который заг­ружал файл ISO с тем же име­нем. Такой ISO мог содер­жать вре­донос­ные прог­раммы, в том чис­ле инфости­леры, тро­яны уда­лен­ного дос­тупа и рек­ламные кли­керы.

Так­же в 2021 году иссле­дова­тели пре­дуп­режда­ли, что вре­донос­ная рек­лама на Anonfiles рас­простра­няет извес­тный инфости­лер RedLine, а кро­ме того, на сай­те были замече­ны кам­пании по рас­простра­нению бот­нета Amadey, сти­лера Vidar и вымога­теля STOP.

Од­нако теперь опе­рато­ры Anonfiles зак­рыли сер­вис, заявив, что их прок­си‑про­вай­дер недав­но отклю­чил их и они боль­ше не могут справ­лять­ся с огромным количес­твом наруше­ний.

Ни­же при­водим заяв­ление адми­нис­тра­ции Anonfiles пол­ностью.

«Пос­ле двух лет бес­конеч­ных попыток запус­тить ано­ним­ный фай­лооб­менный сайт мы уста­ли от огромно­го количес­тва зло­упот­ребле­ний и голов­ной боли, которую это нам соз­давало.
Это может быть труд­но понять, но пос­ле десят­ков мил­лионов заг­рузок и мно­гих петабай­тов дан­ных вся работа по борь­бе со зло­упот­ребле­ниями была авто­мати­зиро­вана по всем дос­тупным каналам, что­бы быть мак­сималь­но быс­трой.
Мы авто­мати­чес­ки банили кон­тент сотен тысяч фай­лов. Мы зап­рещали име­на фай­лов и зап­рещали кон­крет­ные пат­терны исполь­зования, свя­зан­ные со зло­упот­ребле­ниями. Дош­ло до того, что нас не вол­новало, если в про­цес­се мы слу­чай­но получа­ем тысячи лож­ных сра­баты­ваний и уда­лений.
Но даже пос­ле все­го это­го количес­тво зло­упот­ребле­ний не умень­шилось.
Это не та работа, которую мы пред­став­ляли себе, ког­да бра­лись за это. А недав­но наш прок­си‑про­вай­дер нас отклю­чил.
Так боль­ше про­дол­жать­ся не может.
До­мен про­дает­ся».

Хакеров тоже взламывают

• Эк­спер­ты Hudson Rock изу­чили око­ло 100 хак­форумов и обна­ружи­ли, что сами зло­умыш­ленни­ки неред­ко ста­новят­ся жер­тва­ми: их сис­темы заража­ет вре­донос­ное ПО, похищая учет­ные дан­ные от сай­тов для кибер­прес­тупни­ков.
• Все­го было обна­руже­но око­ло 100 000 взло­ман­ных компь­юте­ров, при­над­лежащих хакерам, а количес­тво учет­ных дан­ных от раз­ных хак­форумов пре­выси­ло 140 000.
• Ока­залось, что более 57 000 ском­про­мети­рован­ных поль­зовате­лей име­ли акка­унты в сооб­щес­тве nulled[.]to для начина­ющих кибер­прес­тупни­ков. На вто­рое и третье мес­та попали чуть менее популяр­ные хакер­ские сай­ты cracked[.]io и hackforums[.]net.

• Утек­шие пароли от форумов для кибер­прес­тупни­ков чаще ока­зыва­лись более надеж­ными, чем учет­ные дан­ные для государс­твен­ных сай­тов.

• Са­мые надеж­ные пароли из всех изу­чен­ных про­демонс­три­рова­ли учас­тни­ки хак­форума Breached: более 40% учет­ных дан­ных здесь име­ют дли­ну не менее 10 сим­волов и содер­жат сим­волы четырех типов.

Другие статьи в выпуске:

Xakep #293. MikroTik Nightmare

• Содержание выпуска
• Подписка на «Хакер»-60%

Microsoft не продлит лицензии

Ком­пания Microsoft сооб­щила рос­сий­ским кли­ентам, что лицен­зии на про­дук­ты и решения ком­пании не будут прод­левать­ся пос­ле 30 сен­тября 2023 года. Уже активные лицен­зии про­дол­жат дей­ство­вать и пос­ле этой даты, но толь­ко до кон­ца оставше­гося сро­ка.

В рас­поряже­нии СМИ ока­залось пись­мо от служ­бы под­дер­жки Microsoft Online Services, нап­равлен­ное одно­му из кли­ентов. Оно гла­сит, что пос­ле 30 сен­тября текуще­го года рос­сий­ские кор­поратив­ные кли­енты не смо­гут прод­лить под­писку.

Microsoft пояс­няет, что боль­ше не может при­нимать пла­тежи на мес­тный бан­ков­ский счет в качес­тве опла­ты сво­их услуг в Рос­сии. Поэто­му ком­пания за 60 дней уве­дом­ляет кли­ента о том, что пос­ле 30 сен­тября прод­лить сущес­тву­ющие под­писки уже не получит­ся, а активные лицен­зии про­дол­жат работать лишь до исте­чения их сро­ка.

«Microsoft при­оста­нав­лива­ет запуск новых про­дук­тов, про­дажу сер­висов и мно­гие дру­гие аспекты сво­ей деятель­нос­ти в Рос­сии в соот­ветс­твии с сан­кци­ями со сто­роны Евро­союза, Великоб­ритании и США», — про­ком­менти­рова­ли в ком­пании изда­нию Forbes.

Собс­твен­ные источни­ки изда­ния в IT-отрасли отме­тили, что сей­час долю Microsoft в гос­секто­ре, в ком­пани­ях с госучас­тием и сре­ди кор­поратив­ных кли­ентов мож­но оце­нить в 80%, хотя еще год назад она сос­тавля­ла око­ло 90%, а два года назад — 95–96%.

За­мес­титель пред­седате­ля комите­та Гос­думы по информа­цион­ной полити­ке, информа­цион­ным тех­нологи­ям и свя­зи Андрей Свин­цов заявил СМИ, что, по его мне­нию, «в бли­жай­шие пол­года‑год все рос­сий­ские ана­логи будут дорабо­таны и пос­тепен­но будет про­веде­но импорто­заме­щение».

«Еще какой‑то пери­од боль­шинс­тво прог­рам­мных про­дук­тов [Microsoft] будут про­дол­жать работать, прос­то без обновле­ний. Понят­ное дело, что наши спе­циалис­ты прак­тичес­ки уже все прог­рам­мные про­дук­ты рас­пароли­ли, и ими уже мож­но поль­зовать­ся по серой схе­ме. Боль­шое количес­тво оте­чес­твен­ных прог­рам­мных про­дук­тов уже внед­ряет­ся пов­семес­тно. На сегод­няшний день не все еще фун­кции, ана­логич­ные запад­ным про­дук­там, есть, но по край­ней мере базово уже поль­зовать­ся мож­но», — заяв­ляет депутат.

Безлимитного Dropbox не будет

До недав­него вре­мени в Dropbox мож­но было под­клю­чить без­лимит­ный тариф­ный план Dropbox Advanced для биз­неса, сто­имостью 24 дол­лара в месяц. Этот тариф пре­дос­тавлял неог­раничен­ный объ­ем хра­нили­ща, что­бы биз­нес‑поль­зовате­ли мог­ли не бес­поко­ить­ся о лимитах. К сожале­нию, теперь от это­го решено отка­зать­ся, так как некото­рые поль­зовате­ли активно зло­упот­ребля­ли воз­можнос­тями Dropbox Advanced.

Ком­пания сооб­щает, что перес­танет пре­дос­тавлять неог­раничен­ное хра­нили­ще дан­ных потому, что люди час­то покупа­ют акка­унты Dropbox Advanced «для таких целей, как май­нинг крип­товалют и Chia, объ­еди­нение хра­нилищ для лич­ных нужд не свя­зан­ных меж­ду собой лиц и даже для переп­родажи».

Dropbox объ­ясня­ет, что такие кли­енты исполь­зовали в тысячи раз боль­ше дис­кового прос­транс­тва, чем нас­тоящие биз­нес‑кли­енты.

Что­бы не тра­тить ресур­сы на борь­бу со зло­упот­ребле­ниями, Dropbox вво­дит огра­ниче­ние в 15 Тбайт для орга­низа­ций с тре­мя и менее поль­зовате­лями. Сверх это­го лимита на каж­дого поль­зовате­ля может быть добав­лено еще 5 Тбайт, а мак­сималь­ный раз­мер хра­нили­ща теперь сос­тавля­ет 1000 Тбайт на орга­низа­цию.

Но­вых поль­зовате­лей изме­нения кос­нутся сра­зу, а сущес­тву­ющие поль­зовате­ли будут пос­тепен­но переве­дены на новые тариф­ные пла­ны с 1 нояб­ря текуще­го года, о чем их уве­домят не менее чем за 30 дней до перехо­да.

Что­бы помочь нас­тоящим биз­нес‑кли­ентам перей­ти на новый режим работы, Dropbox анон­сиру­ет, что кли­енты, исполь­зующие менее 35 Тбайт дис­кового прос­транс­тва на одну лицен­зию, смо­гут сох­ранить преж­ний объ­ем хра­нили­ща, а так­же получат еще 5 Тбайт в течение пяти лет без допол­нитель­ной опла­ты.

Telegram обошел «Вконтакте»

• Сог­ласно ста­тис­тике Mediascope, этим летом Telegram обог­нал «Вкон­такте» по раз­меру днев­ной ауди­тории в Рос­сии, уста­новив новый рекорд.
• В июле 2023 года показа­тель днев­ной ауди­тории Telegram сос­тавил 54,3 мил­лиона человек, то есть на 1,7 мил­лиона боль­ше, чем у «Вкон­такте» (52,6 мил­лиона).

• По срав­нению с июнем за месяц ауди­тория Telegram вырос­ла на 2,4 мил­лиона человек (4,6%).
• Та­ким обра­зом, Telegram и «Вкон­такте» в Рос­сии обго­няют YouTube по сред­несуточ­ному охва­ту.

• Тем не менее месяч­ная ауди­тория YouTube все же оста­ется самой боль­шой — в июле она пре­выси­ла 95,5 мил­лиона человек. Для «Вкон­такте» этот показа­тель сос­тавля­ет 87,6 мил­лиона поль­зовате­лей, для Telegram — 81,2 мил­лиона.

WinRAR атакуют

В августе в WinRAR был обна­руже­ны и исправ­лены сра­зу две уяз­вимос­ти, одна из которых пред­став­ляла собой 0-day, то есть уже исполь­зовалась хакера­ми.

Пер­вая уяз­вимость, CVE-2023-40477, поз­воляла добить­ся выпол­нения про­изволь­ного кода в целевой сис­теме, и для экс­плу­ата­ции проб­лемы дос­таточ­но было вынудить жер­тву открыть архив RAR.

«Недос­таток свя­зан с обра­бот­кой томов вос­ста­нов­ления (recovery volumes), — писали спе­циалис­ты Zero Day Initiative, обна­ружив­шие баг. — Проб­лема воз­ника­ет из‑за отсутс­твия над­лежащей про­вер­ки пре­дос­тавля­емых поль­зовате­лем дан­ных, что может при­вес­ти к обра­щению к памяти за пре­дела­ми выделен­ного буфера».

Пос­коль­ку ата­ка все же тре­бует вза­имо­дей­ствия с поль­зовате­лем (ведь цель дол­жна открыть архив), уяз­вимость наб­рала 7,8 бал­ла из 10 воз­можных по шка­ле оцен­ки уяз­вимос­тей CVSS, то есть не счи­тает­ся кри­тичес­кой. Одна­ко обма­ном вынудить поль­зовате­ля открыть архив не так уж слож­но, а учи­тывая огромный объ­ем поль­зователь­ской базы WinRAR, уяз­вимость может пред­став­лять боль­шую опас­ность.

Вто­рая уяз­вимость, CVE-2023-38831, ока­залась проб­лемой нулево­го дня. По информа­ции Group-IB, проб­лема активно исполь­зовалась зло­умыш­ленни­ками для уста­нов­ки мал­вари, а для экс­плу­ата­ции бага дос­таточ­но было вынудить жер­тву открыть безобид­ный файл из архи­ва (в фор­мате JPG, TXT и дру­гих).

Ис­сле­дова­тели рас­ска­зали, что хакеры исполь­зовали уяз­вимость с апре­ля 2023 года, что­бы рас­простра­нять раз­личные семей­ства вре­донос­ных прог­рамм, вклю­чая DarkMe, GuLoader и Remcos RAT.

В основном ата­ки были обна­руже­ны на форумах, пос­вящен­ных тор­говле крип­товалю­тами. Там хакеры прит­ворялись энту­зиас­тами, делящи­мися сво­ими тор­говыми стра­теги­ями с дру­гими трей­дерами. К сооб­щени­ям зло­умыш­ленни­ки прик­ладыва­ли ссыл­ки на спе­циаль­но под­готов­ленные архи­вы WinRAR, которые яко­бы содер­жали деталь­ную информа­цию о тор­говой стра­тегии (PDF, тек­сто­вые фай­лы и изоб­ражения).

Вре­донос­ные архи­вы рас­простра­нялись как минимум на вось­ми откры­тых трей­дер­ских форумах, и с их помощью были зараже­ны устрой­ства не менее 130 поль­зовате­лей. При этом общее чис­ло жертв этой кам­пании и их финан­совые потери пока неиз­вес­тны.

От­кры­вая вре­донос­ный архив, жер­твы видели лишь набор безобид­ных на пер­вый взгляд фай­лов, вклю­чая уже упо­мяну­тые PDF, тек­сто­вые фай­лы, а так­же изоб­ражения в фор­матах JPG, PNG и про­чих.

Но если поль­зователь кли­кал на такой PDF или кар­тинку, бла­года­ря уяз­вимос­ти CVE-2023-38831 запус­кался скрипт для уста­нов­ки мал­вари. При этом скрипт так­же заг­ружал и показы­вал поль­зовате­лю документ‑фаль­шив­ку, что­бы не вызывать подоз­рений.

В ито­ге скрипт исполь­зовал­ся для запус­ка саморас­паковы­вающе­гося (SFX) CAB-архи­ва, который заражал компь­ютер мал­варью (DarkMe, GuLoader и Remcos RAT), обес­печивая зло­умыш­ленни­кам уда­лен­ный дос­туп к заражен­ному устрой­ству и поз­воляя похитить крип­товалют­ные акти­вы жер­твы.

Обе опи­сан­ные выше проб­лемы были устра­нены в начале августа, ког­да ком­пания RARLAB выпус­тила обновлен­ный WinRAR 6.23. Теперь поль­зовате­лям WinRAR рекомен­дует­ся как мож­но ско­рее уста­новить эту вер­сию, что­бы защитить­ся от воз­можных атак.