MEGANews. Самые важные события в мире инфосека за сентябрь

В Free Download Manager нашли бэкдор

Ана­лити­ки «Лабора­тории Кас­пер­ско­го» обна­ружи­ли, что вре­донос­ная кам­пания с исполь­зовани­ем Free Download Manager дли­лась боль­ше трех лет. В ходе атак легитим­ное ПО для уста­нов­ки при­ложе­ний исполь­зовалось для рас­простра­нения бэк­дора на устрой­ства под управле­нием Linux. Ата­ки были зафик­сирова­ны в Бра­зилии, Китае, Саудов­ской Ара­вии и Рос­сии.

Как пра­вило, жер­твы заража­лись при попыт­ке заг­рузить софт с офи­циаль­ного сай­та Free Download Manager (freedownloadmanager[.]org), то есть про­изош­ла ата­ка на цепоч­ку пос­тавок.

Ес­ли жер­тва откры­вала сайт Free Download Manager, а затем нажима­ла кноп­ку заг­рузки прог­раммы для Linux, то в некото­рых слу­чаях ее перенап­равля­ло на вре­донос­ный URL-адрес, с которо­го ска­чива­лась вре­донос­ная вер­сия ПО, выпущен­ная в 2020 году.

Пос­ле запус­ка фай­ла на устрой­стве жер­твы уста­нав­ливал­ся бэк­дор — раз­новид­ность тро­яна для уда­лен­ного дос­тупа. С заражен­ного устрой­ства зло­умыш­ленни­ки мог­ли похищать раз­личную информа­цию, в том чис­ле све­дения о сис­теме, исто­рию бра­узе­ра, сох­ранен­ные пароли, дан­ные крип­товалют­ных кошель­ков и даже учет­ные дан­ные облачных сер­висов, таких как Amazon Web Services или Google Cloud.

При этом отме­чает­ся, что некото­рые образцы мал­вари, исполь­зован­ной в этой кам­пании, впер­вые были выяв­лены еще в 2013 году, а вре­донос пред­став­ляет собой модифи­циро­ван­ную вер­сию бэк­дора Bew. Этот вре­донос не раз под­вергал­ся ана­лизу: одно из пер­вых его опи­саний было опуб­ликова­но еще в 2014 году.

При иссле­дова­нии руководств по уста­нов­ке Free Download Manager на YouTube для компь­юте­ров Linux были обна­руже­ны слу­чаи, ког­да соз­датели видео неп­редна­мерен­но демонс­три­рова­ли началь­ный про­цесс зараже­ния, хотя в дру­гих видео заг­ружалась легитим­ная вер­сия ПО. Из это­го экспер­ты сде­лали вывод, что раз­работ­чики мал­вари пре­дус­мотре­ли, что жер­тва перенап­равля­лась на вре­донос­ную вер­сию ПО «с опре­делен­ной сте­пенью веро­ятности или на осно­ве циф­рового сле­да потен­циаль­ной жер­твы». В резуль­тате некото­рые поль­зовате­ли стал­кивались с мал­варью, а дру­гие получа­ли легитим­ный софт.

«Рас­простра­нено заб­лужде­ние, что для Linux не сущес­тву­ет вре­донос­ного ПО, поэто­му мно­гие поль­зовате­ли не уста­нав­лива­ют на такие устрой­ства защит­ные решения. Одна­ко отсутс­твие средств обес­печения кибер­безопас­ности как раз дела­ет их более прив­лекатель­ными для зло­умыш­ленни­ков. Ситу­ация с Free Download Manager демонс­три­рует, что кибера­таки на Linux могут дол­го оста­вать­ся необ­наружен­ными. Что­бы это­го избе­жать, нуж­но обя­затель­но заботить­ся об эффектив­ных мерах безопас­ности для компь­юте­ров и сер­веров, работа­ющих на этой опе­раци­онной сис­теме», — объ­ясня­ет Леонид Без­вершен­ко, эксперт по кибер­безопас­ности «Лабора­тории Кас­пер­ско­го».

Вско­ре пос­ле выхода отче­та экспер­тов раз­работ­чики Free Download Manager под­твер­дили, что теория иссле­дова­телей вер­на, — про­изош­ла ата­ка на цепоч­ку пос­тавок. Ока­залось, что еще в 2020 году «опре­делен­ная стра­ница на сай­те была ском­про­мети­рова­на укра­инской хакер­ской груп­пой, которая исполь­зовала ее для рас­простра­нения вре­донос­ного прог­рам­мно­го обес­печения».

При этом в офи­циаль­ном заяв­лении под­черки­вает­ся, что эти ата­ки зат­ронули менее 0,1% посети­телей сай­та, а уяз­вимость, которая поз­волила зло­умыш­ленни­кам внед­рить вре­донос­ный код на стра­ницу заг­рузки, была слу­чай­но устра­нена во вре­мя пла­ново­го обновле­ния в 2022 году.

NFT не стоят ничего

• Ана­лити­ки dappGambl под­счи­тали, что в нас­тоящее вре­мя 95% нев­заимо­заме­няемых токенов потеря­ли поч­ти всю свою цен­ность.
• Ис­сле­дова­тели изу­чили более 73 000 NFT-кол­лекций, и ока­залось, что цена 70 000 из них на дан­ный момент рав­няет­ся 0 ETH. Такими токена­ми сей­час вла­деют 23 000 000 человек.

• Обес­ценилось все, вклю­чая популяр­ные рань­ше кол­лекции. Так, из 8850 неког­да луч­ших кол­лекций 18% теперь не сто­ят ничего, а еще 45% оце­нива­ются в 5–100 дол­ларов за токен.
• Лишь 1% NFT сей­час сто­ят дороже 6000 дол­ларов, и зачас­тую это на поряд­ки мень­ше, чем нес­коль­ко лет назад.

Google Authenticator помог хакерам

Учет­ные записи 27 облачных кли­ентов ком­пании Retool были ском­про­мети­рова­ны в резуль­тате тар­гетиро­ван­ной и мно­гоэтап­ной ата­ки с исполь­зовани­ем соци­аль­ной инже­нерии. При этом в ком­пании заяви­ли, что мно­гофак­торная аутен­тифика­ция через Google Authenticator толь­ко ухуд­шила ситу­ацию.

Плат­форма Retool пред­назна­чена для соз­дания биз­нес‑ПО и исполь­зует­ся раз­личны­ми ком­пани­ями, от стар­тапов до пред­при­ятий из спис­ка Fortune 500 (вклю­чая Amazon, Mercedes-Benz, DoorDash, NBC, Stripe и Lyft).

Тех­ничес­кий руково­дитель ком­пании Снир Кодеш (Snir Kodesh) рас­ска­зал, что все взло­ман­ные в резуль­тате ата­ки акка­унты при­над­лежали кли­ентам, работа­ющим в крип­товалют­ной индус­трии, а сам инци­дент про­изо­шел еще 27 августа 2023 года.

Зло­умыш­ленни­ки обош­ли мно­гочис­ленные меры безопас­ности, исполь­зуя SMS-фишинг и соци­аль­ную инже­нерию, что­бы в ито­ге ском­про­мети­ровать учет­ную запись Okta, при­над­лежащую одно­му из сот­рудни­ков ком­пании. Хакеры исполь­зовали фишинг и URL-адрес, похожий на внут­ренний адрес пор­тала иден­тифика­ции Retool, который был запущен ранее, в ходе перено­са логинов в Okta.

Хо­тя боль­шинс­тво сот­рудни­ков про­игно­риро­вали фишин­говое пос­лание хакеров, один из них все же клик­нул по фишин­говой ссыл­ке, яко­бы при­шед­шей от чле­на ИТ‑коман­ды ком­пании, а ссыл­ка вела на фей­ковый пор­тал вхо­да с мно­гофак­торной аутен­тифика­цией (МФА).

Пос­ле это­го зло­умыш­ленник под­делал голос сот­рудни­ка ИТ‑отде­ла ком­пании с помощью ней­росети и поз­вонил сот­рудни­ку Retool, который клю­нул на фишин­говую при­ман­ку. Хакер обма­ном вынудил жер­тву пре­дос­тавить допол­нитель­ный код МФА, который поз­волил добавить кон­тро­лиру­емое зло­умыш­ленни­ками устрой­ство к учет­ной записи Okta целево­го работ­ника. С это­го момен­та зло­умыш­ленни­ки получи­ли воз­можность соз­давать собс­твен­ные коды для МФА в Okta. При этом отме­чает­ся, что зво­нив­ший хорошо под­готовил­ся и был зна­ком с «пла­ниров­кой офи­са, кол­легами и внут­ренни­ми про­цес­сами ком­пании».

В ито­ге пред­ста­вите­ли Retool объ­ясни­ли успех этой ата­ки но­вой фун­кци­ей в Google Authenticator, которая поз­воля­ет поль­зовате­лям син­хро­низи­ровать свои коды двух­фактор­ной аутен­тифика­ции с учет­ной записью Google.

Яко­бы имен­но из‑за этой фун­кци­ональ­нос­ти августов­ский взлом получил­ся нас­толь­ко серь­езным. Дело в том, что зло­умыш­ленник, успешно взло­мав­ший учет­ную запись Google одно­го из сот­рудни­ков, получил дос­туп ко всем кодам 2ФА для внут­ренних сер­висов.

«С помощью этих кодов (и сеан­са Okta) зло­умыш­ленник получил дос­туп к нашему VPN и, что еще важ­нее, к нашим внут­ренним сис­темам адми­нис­три­рова­ния, — заявил Кодеш. — Это поз­волило ему про­вес­ти ата­ку по зах­вату учет­ных записей опре­делен­ного кру­га кли­ентов (все они работа­ют в крип­товалют­ной индус­трии), изме­нить элек­трон­ную поч­ту поль­зовате­лей и сбро­сить пароли. Пос­ле зах­вата учет­ных записей зло­умыш­ленник покопал­ся в некото­рых при­ложе­ниях Retool».

Ко­деш под­чер­кнул, что, по мне­нию Retool, Google сле­дует либо устра­нить эти «тем­ные пат­терны» в Google Authenticator, который поощ­ряет сох­ранение кодов МФА в обла­ке, либо пре­дос­тавить орга­низа­циям воз­можность отклю­чать эту фун­кци­ональ­ность.

Здесь нуж­но отме­тить, что фун­кция облачной син­хро­низа­ции в Google Authenticator необя­затель­на. Ее мож­но деак­тивиро­вать, выб­рав опцию «Исполь­зовать Authenticator без учет­ной записи», что при­ведет к выходу из при­ложе­ния и уда­лению син­хро­низи­рован­ных кодов 2ФА из учет­ной записи Google.

В ответ на эти обви­нения пред­ста­вите­ли Google сооб­щили, что рекомен­дуют поль­зовате­лям и ком­пани­ям перехо­дить с уста­рев­шей мно­гофак­торной аутен­тифика­ции и одно­разо­вых паролей (OTP) на тех­нологию FIDO — это прос­той спо­соб пре­дот­вра­тить подоб­ные ата­ки.

«Рис­ки фишин­га и соци­аль­ной инже­нерии при исполь­зовании уста­рев­ших тех­нологий аутен­тифика­ции (нап­ример, осно­ван­ных на OTP) явля­ются глав­ной при­чиной того, что отрасль вкла­дыва­ет зна­читель­ные средс­тва в раз­витие тех­нологий на базе FIDO, — говорят в Google. — Пока мы про­дол­жаем работать над эти­ми изме­нени­ями, мы хотим, что­бы поль­зовате­ли Google Authenticator зна­ли, что у них есть выбор: син­хро­низи­ровать свои OTP с акка­унтом Google или хра­нить их толь­ко локаль­но».

О блокировке YouTube в России

За­мес­титель комите­та Гос­думы по информа­цион­ной полити­ке, информа­цион­ным тех­нологи­ям и свя­зи Антон Горел­кин выс­казал­ся о потен­циаль­ной бло­киров­ке YouTube в сво­ем Telegram-канале. По его сло­вам, «бло­киров­ка YouTube при­несет боль­ше вре­да, чем поль­зы», одна­ко Рос­сии в любом слу­чае нуж­но раз­вивать свои аль­тер­нативы.

«YouTube про­дол­жает оста­вать­ся враж­дебной пло­щад­кой, осоз­нанно наруша­ющей законо­датель­ство нашей стра­ны, и нет гаран­тии, что зав­тра она не нач­нет про­водить более агрессив­ную полити­ку по рас­простра­нению про­тивоп­равных роликов. У рос­сий­ских кон­тент‑мей­керов на YouTube нет будуще­го», — пишет Горел­кин.

С этой точ­кой зре­ния сог­ласен пред­седатель комите­та Гос­думы по информа­цион­ной полити­ке Алек­сандр Хин­штейн, который так­же исклю­чил бло­киров­ку YouTube в Рос­сии до появ­ления пол­ноцен­ного ана­лога.

«На сегод­ня адек­ватной и пол­ноцен­ной замены YouTube в рос­сий­ских ана­логах, к сожале­нию, пока нет. Клю­чевое сло­во тут — „пока“», — говорит Хин­штейн и отме­чает, что YouTube и ком­пания Google «занима­ет дос­таточ­но субъ­ективную и полити­чес­ки мотиви­рован­ную позицию по отно­шению к Рос­сии».

Хакеры КНДР атакуют российские органы власти

Ком­пания Microsoft заяви­ла, что в 2023 году северо­корей­ские хак­груп­пы взло­мали нес­коль­ко рос­сий­ских объ­ектов, свя­зан­ных с пра­витель­ством и обо­роной. Как утвер­жда­ет ком­пания, в ском­про­мети­рован­ных рос­сий­ских сис­темах зло­умыш­ленни­ки занима­лись сбо­ром раз­ведыва­тель­ной информа­ции.

«В пос­леднее вре­мя нес­коль­ко северо­корей­ских зло­умыш­ленни­ков ата­кова­ли рос­сий­ское пра­витель­ство и обо­рон­ную про­мыш­ленность. Веро­ятно, с целью сбо­ра раз­веддан­ных», — пишет Клинт Уоттс (Clint Watts), гла­ва Microsoft Digital Threat Analysis Center.

Microsoft не рас­кры­вает под­робнос­тей об этих ата­ках и не пишет, какие имен­но рос­сий­ские орга­низа­ции были взло­маны. Одна­ко в отче­те ком­пании содер­жится информа­ция о том, ког­да про­изош­ли некото­рые из этих инци­ден­тов.

Так, по дан­ным Microsoft, в мар­те текуще­го года была взло­мана рос­сий­ская орга­низа­ция, занима­ющаяся аэро­кос­мичес­кими иссле­дова­ниями, а так­же ском­про­мети­рован ряд рос­сий­ских дип­ломати­чес­ких акка­унтов.

«В мар­те 2023 года груп­пиров­ка Ruby Sleet взло­мала аэро­кос­мичес­кий иссле­дова­тель­ский инсти­тут в Рос­сии. Кро­ме того, в начале мар­та груп­па Onyx Sleet (PLUTONIUM) ском­про­мети­рова­ла устрой­ство, при­над­лежащее одно­му из рос­сий­ских уни­вер­ситетов, — говорит­ся в док­ладе. — Так­же в том же месяце зло­умыш­ленни­ки из Opal Sleet (OSMIUM) рас­сылали фишин­говые пись­ма на акка­унты, при­над­лежащие рос­сий­ским дип­ломати­чес­ким пред­ста­витель­ствам».

Со­обща­ется, что кибера­таки групп Ruby Sleet (она же CERIUM) и Diamond Sleet (она же ZINC и Lazarus) рас­простра­няют­ся и на про­изво­дите­лей ору­жия в раз­личных стра­нах мира, вклю­чая Гер­манию и Изра­иль. С нояб­ря 2022 года по январь 2023 года взло­мам под­вер­глись и обо­рон­ные пред­при­ятия в Бра­зилии, Ита­лии, Нор­вегии, Поль­ше, Фин­ляндии и Чехии.

Другие статьи в выпуске:

Xakep #294. Pentest Award

• Содержание выпуска
• Подписка на «Хакер»-60%

Разработчики Genshin Impact пригрозили игрокам судом

Ком­пания miHoYo, раз­рабаты­вающая популяр­ную игру Genshin Impact, отре­аги­рова­ла на ситу­ацию вок­руг мас­совых взло­мов, которые выз­вали нешуточ­ную панику сре­ди игро­ков. Раз­работ­чики пообе­щали, что най­дут при­час­тных к соз­данию так называ­емых Кавех‑хаков, и приг­розили им юри­дичес­ким прес­ледова­нием.

Еще в кон­це августа мно­гие игро­ки Genshin Impact ста­ли жаловать­ся на Кавех‑хаки, которые серь­езно вли­яли на их игро­вой прог­ресс. Дело в том, что в игро­вом пер­сонаже Кавех (Kaveh) и его механи­ках обна­ружи­ли баг, который поз­волял уда­лять про­изволь­ные эле­мен­ты из чужих игро­вых миров в коопе­ратив­ном режиме, вклю­чая важ­ные голово­лом­ки, NPC и бос­сов, с которы­ми игро­кам необ­ходимо вза­имо­дей­ство­вать.

В ито­ге Кавех‑хаки, которые мно­гочис­ленные трол­ли исполь­зовали для атак на игро­ков, серь­езно пов­лияли на игро­вой про­цесс мно­жес­тва людей, затор­мозив их про­хож­дение и выз­вав вол­нения в огромном игро­вом сооб­щес­тве Genshin Impact, нас­читыва­ющем боль­ше 60 мил­лионов игро­ков.

Де­ло осложня­ло то, что вос­ста­новить уда­лен­ные эле­мен­ты не пред­став­лялось воз­можным, и игро­кам совето­вали вре­мен­но воз­держать­ся от исполь­зования коопе­ратив­ного режима вооб­ще.

Как в ито­ге сооб­щили в X (быв­ший Twitter) пред­ста­вите­ли miHoYo, проб­лема уже локали­зова­на, а вла­дель­цев зат­ронутых учет­ных записей уве­домят инди­виду­аль­но, через внут­рииг­ровые сооб­щения. По сло­вам раз­работ­чиков, коопе­ратив­ный режим зарабо­тал нор­маль­но, одна­ко на вос­ста­нов­ление некото­рых эле­мен­тов и акка­унтов пот­ребова­лось вре­мя. В ком­пании пообе­щали окон­чатель­но устра­нить все проб­лемы в будущем обновле­нии.

Так­же соз­датели игры заяви­ли, что намере­ны подать в суд на людей, которые раз­работа­ли, исполь­зовали или рас­простра­няли инс­тру­мен­ты для экс­плу­ата­ции бага, свя­зан­ного с Кавехом, обви­няя их в наруше­нии Terms of service игры и законо­датель­ства.

Внут­рииг­ровые хаки и читы дей­стви­тель­но наруша­ют Terms of service, а если они вклю­чают в себя модифи­кацию проп­риетар­ного игро­вого кода и ресур­сов, это может рас­смат­ривать­ся и как наруше­ние автор­ских прав.

Кро­ме того, в некото­рых юрис­дикци­ях взлом игро­вых сер­веров и экс­плу­ата­ция уяз­вимос­тей могут быть клас­сифици­рова­ны как незакон­ная деятель­ность в соот­ветс­твии с мес­тны­ми закона­ми о компь­ютер­ном мошен­ничес­тве и зло­упот­ребле­ниях.

«При­мене­ние пла­гинов для уда­ления пред­метов из откры­того мира дру­гих Путешес­твен­ников (пос­редс­твом модифи­кации игро­вых дан­ных) серь­езно пов­лияло на их игро­вой про­цесс. Что­бы обес­печить чес­тную игру и защитить пра­ва Путешес­твен­ников, мы заб­локиро­вали учет­ные записи, исполь­зующие такие пла­гины, и при­мем пра­вовые меры про­тив их раз­работ­чиков, поль­зовате­лей и рас­простра­ните­лей», — заяви­ли пред­ста­вите­ли miHoYo.

Пользователи не доверяют ИИ

• Эк­спер­ты Salesforce, Roy Morgan и Pew Research выяс­нили, что у людей появ­ляет­ся все боль­ше опа­сений отно­ситель­но ком­паний, исполь­зующих и раз­рабаты­вающих ИИ.
• Оп­рос свы­ше 14 000 пот­ребите­лей и фирм в 25 стра­нах мира показал, что поч­ти 3/4 кли­ентов обес­поко­ены неэтич­ным исполь­зовани­ем ИИ.
• Бо­лее 40% опро­шен­ных кли­ентов не верят, что ком­пании уже сей­час исполь­зуют ИИ этич­но.
• Ес­ли в 2022 году свы­ше 80% ком­мерчес­ких покупа­телей и 65% пот­ребите­лей были готовы исполь­зовать ИИ для улуч­шения качес­тва обслу­жива­ния, то в этом году оба показа­теля упа­ли: до 73 и 51%.
• Сог­ласно дру­гому опро­су, из 1500 человек поч­ти 60% счи­тают, что ИИ «соз­дает боль­ше проб­лем, чем реша­ет».

• Бо­лее того, каж­дый пятый учас­тник опро­са сог­ласил­ся с тем, что ИИ‑тех­нологии могут при­вес­ти к исчезно­вению челове­чес­тва уже к 2043 году.

Историю Chrome будут использовать в рекламных целях

Ком­пания Google начала раз­верты­вать свою новую рек­ламную плат­форму Privacy Sandbox, осно­ван­ную на инте­ресах поль­зовате­лей. Таким спо­собом ком­пания хочет уйти от исполь­зования сто­рон­них тре­кин­говых cookie и перело­жить задачу отсле­жива­ния инте­ресов поль­зовате­ля на сам бра­узер Chrome.

Ожи­дает­ся, что в бли­жай­шие месяцы Privacy Sandbox охва­тит всех поль­зовате­лей Chrome. При запус­ке бра­узе­ра люди уви­дят пре­дуп­режде­ние о повышен­ной кон­фиден­циаль­нос­ти рек­ламы в Chrome, где будет крат­ко опи­сана фун­кци­ональ­ность новой плат­формы.

«Мы запус­каем новые фун­кции для обес­печения кон­фиден­циаль­нос­ти, которые поз­волят вам выбирать, какую рек­ламу вы видите, — гла­сит опо­веще­ние в Chrome. — Chrome опре­делит инте­ресу­ющие вас темы на осно­ве исто­рии бра­узин­га. Кро­ме того, посеща­емые вами сай­ты смо­гут опре­делять, что вам нра­вит­ся. В даль­нейшем сай­ты смо­гут зап­рашивать эту информа­цию, что­бы показы­вать вам пер­сонали­зиро­ван­ную рек­ламу. Так­же вы можете выбирать, какие темы и сай­ты будут исполь­зовать­ся для показа рек­ламы».

Пре­дуп­режде­ние завер­шает­ся дву­мя кноп­ками: «Понят­но» (Got it) и «Нас­трой­ки» (Settings), на которые уже жалу­ются мно­гие поль­зовате­ли, заяв­ляя, что кноп­ки сби­вают с тол­ку и вво­дят в заб­лужде­ние. Дело в том, что новая рек­ламная плат­форма будет вклю­чена незави­симо от того, какую кноп­ку выберет поль­зователь.

Google заяв­ляет, что тес­тирова­ние Privacy Sandbox прод­лится до 2024 года, при этом с пер­вого квар­тала про­изой­дет отказ при­мер­но от 1% сто­рон­них cookie-фай­лов, а к чет­верто­му квар­талу они дол­жны быть пол­ностью отклю­чены по умол­чанию.

По сути, Privacy Sandbox пред­став­ляет собой новую рек­ламную плат­форму, соз­данную Google яко­бы для того, что­бы повысить кон­фиден­циаль­ность при отсле­жива­нии рек­ламных инте­ресов поль­зовате­ля.

Идея зак­люча­ется в том, что­бы огра­ничить отсле­жива­ние поль­зовате­лей, но при этом пре­дос­тавить рек­ламода­телям инс­тру­мен­ты для изме­рения эффектив­ности и про­чих задач. Так, вмес­то исполь­зования сто­рон­них фай­лов cookie, раз­меща­емых раз­личны­ми рек­ламода­теля­ми и ком­пани­ями, Privacy Sandbox будет локаль­но вычис­лять инте­ресы поль­зовате­ля непос­редс­твен­но в бра­узе­ре (в нас­тоящее вре­мя эта тех­нология исполь­зует­ся толь­ко в Google Chrome).

Рек­ламода­тели, исполь­зующие Privacy Sandbox, смо­гут зап­рашивать инте­ресы посети­телей, что­бы показы­вать им соот­ветс­тву­ющую рек­ламу, а бра­узер будет отве­чать обез­личен­ными дан­ными, в которых перечис­лены лишь катего­рии, которые инте­ресу­ют поль­зовате­ля.

Эти инте­ресы рас­счи­тыва­ются на осно­ве исто­рии прос­мотров поль­зовате­ля и раз­ных сай­тов, свя­зан­ных с раз­личны­ми темати­чес­кими катего­риями (нап­ример, спорт, комик­сы, бодибил­динг, катание на конь­ках).

Сто­ит ска­зать, что нес­коль­ко лет назад, в рам­ках отка­за от исполь­зования сто­рон­них тре­кин­говых cookie, сна­чала Google пред­ста­вила новую плат­форму под наз­вани­ем Federated Learning of Cohorts (FLoC), которая выз­вала бурю кри­тики и негодо­вания в индус­трии (1, 2, 3, 4, 5).

Со вре­менем FLoC тран­сфор­мирова­лась в Topics, клю­чевую фун­кцию новой Privacy Sandbox, так­же приз­ванную клас­сифици­ровать инте­ресы поль­зовате­лей по раз­личным темам, осно­выва­ясь на исто­рии прос­мотра веб‑стра­ниц. Эти инте­ресы затем дол­жны переда­вать­ся мар­кетоло­гам для показа тар­гетиро­ван­ной рек­ламы.

Хо­тя Google всег­да заяв­ляла, что Privacy Sandbox пред­назна­чена для повыше­ния кон­фиден­циаль­нос­ти поль­зовате­лей, спе­циалис­ты Apple, Mozilla и WC3 TAG ука­зыва­ли на мно­гочис­ленные проб­лемы, свя­зан­ные с этой тех­нологи­ей.

Так­же Privacy Sandbox кри­тико­вали мно­гие дру­гие учас­тни­ки индус­трии, вклю­чая раз­работ­чиков DuckDuckGo (которые заяви­ли, что «отсле­жива­ние — это отсле­жива­ние, и неваж­но, как вы его называ­ете») и раз­работ­чиков бра­узе­ра Brave (которые счи­тают, что Privacy Sandbox лишь нанесет ущерб кон­фиден­циаль­нос­ти и еще боль­ше укре­пит монопо­лию Google в интерне­те).

Те­перь в Google уве­ряют, что для переда­чи дан­ных меж­ду бра­узе­ром и рек­ламода­теля­ми в Privacy Sandbox исполь­зуют­ся Oblivious HTTP Relays, что обес­печива­ет допол­нитель­ную кон­фиден­циаль­ность поль­зовате­лей. Под­черки­вает­ся, что это не поз­воля­ет Google свя­зать IP-адре­са поль­зовате­лей с дан­ными об их инте­ресах, а так­же помога­ет уда­лять ненуж­ные заголов­ки зап­росов из любых соеди­нений.

От­казать­ся от исполь­зования Privacy Sandbox мож­но в нас­трой­ках Google Chrome. Для это­го нуж­но перей­ти в Settings → Privacy & security → Ad privacy, где мож­но отклю­чить каж­дую отдель­ную фун­кцию.

Активность P2PInfect возросла в 600 раз

• Спе­циалис­ты из ком­пании Cado Security замети­ли, что с августа 2023 года активность чер­вя P2PInfect, который ата­кует сер­веры Redis, рез­ко воз­росла и вре­донос­ное ПО пос­тепен­но ста­новит­ся более незамет­ной и серь­езной угро­зой.

• Ис­сле­дова­тели говорят о рос­те количес­тва атак P2PInfect на свои ханипо­ты. По сос­тоянию на 24 августа 2023 года за всю исто­рию наб­людений было обна­руже­но 4064 таких события. Но уже 3 сен­тября 2023 года количес­тво событий уве­личи­лось в три раза, а затем, в пери­од с 12 по 19 сен­тября 2023 года, про­изо­шел круп­ный всплеск активнос­ти: за непол­ную неделю было замече­но 3619 попыток взло­ма. То есть бот­нет стал в 600 раз активнее.

Завод Toyota встал: кончилось место на диске

Ком­пания Toyota сооб­щила, что сбои в работе ее япон­ских заводов ока­зались выз­ваны нех­ваткой мес­та на сер­верах баз дан­ных, а не кибера­такой. Из‑за это­го ком­пания была вынуж­дена вре­мен­но оста­новить работу 12 из 14 сво­их заводов в Япо­нии и 28 сбо­роч­ных линий.

Пос­ледс­тви­ями это­го «неоп­ределен­ного сис­темно­го сбоя», про­изо­шед­шего в 20-х чис­лах августа и при­вед­шего к оста­нов­ке работы заводов, ста­ло сни­жение объ­емов про­изводс­тва при­мер­но на 13 тысяч авто­моби­лей в день. В будущем это может негатив­но ска­зать­ся на всем рын­ке в целом, так как Toyota — один из круп­ней­ших автопро­изво­дите­лей в мире.

В опуб­ликован­ном офи­циаль­ном заяв­лении пред­ста­вите­ли Toyota объ­ясни­ли, что сбой про­изо­шел во вре­мя пла­ново­го обслу­жива­ния ИТ‑сис­тем. Обслу­жива­ние зак­лючалось в упо­рядо­чива­нии дан­ных и уда­лении фраг­менти­рован­ных дан­ных из БД. Одна­ко в свя­зи с тем, что хра­нили­ще ока­залось запол­нено до отка­за, про­изош­ла ошиб­ка, при­вед­шая к оста­нов­ке всей сис­темы.

Сбой пов­лиял непос­редс­твен­но на сис­тему заказа про­дук­ции, в резуль­тате чего пла­ниро­вание и выпол­нение про­изводс­твен­ных заданий ста­ло невоз­можным.

В Toyota пояс­няют, что основные сер­веры и резер­вные машины ком­пании работа­ют в рам­ках одной сис­темы. В свя­зи с этим обе сис­темы стол­кну­лись со сбо­ем одновре­мен­но, что сде­лало невоз­можным перек­лючение и пов­лекло за собой оста­нов­ку работы заводов:

«В ходе про­цеду­ры обслу­жива­ния накоп­ленные в БД дан­ные были уда­лены и сис­темати­зиро­ваны, но из‑за нех­ватки мес­та на дис­ке про­изош­ла ошиб­ка, что при­вело к оста­нов­ке сис­темы. Пос­коль­ку сер­веры работа­ли в одной сис­теме, тот же сбой зат­ронул и фун­кции резер­вно­го копиро­вания, и перек­лючение выпол­нить не уда­лось».

Ис­пра­вить проб­лему смог­ли лишь через нес­коль­ко дней, ког­да ИТ‑спе­циалис­ты Toyota под­готови­ли сер­вер боль­шей емкости, спо­соб­ный при­нять дан­ные. Это поз­волило вос­ста­новить фун­кци­они­рова­ние сис­темы заказа про­дук­ции и возоб­новить работу пред­при­ятий.

«Мы при­носим изви­нения всем заин­тересо­ван­ным сто­ронам за при­чинен­ное бес­покой­ство. Мы хотели бы еще раз под­чер­кнуть, что дан­ный сбой в работе сис­тем не был выз­ван кибера­такой», — заяв­ляют в Toyota.

Падает спрос на программистов, знающих иностранные языки

• Пред­ста­вите­ли ассо­циации «Рус­софт» сооб­щают, что в Рос­сии намети­лась тен­денция к сни­жению спро­са на раз­работ­чиков ПО, вла­деющих инос­тран­ными язы­ками. По сло­вам экспер­тов, это ста­ло следс­тви­ем того, что в нас­тоящее вре­мя Рос­сия делит весь мир на «дру­жес­твен­ные» и «нед­ружес­твен­ные» стра­ны, а так­же дело в пере­ориен­тации индус­трии раз­работ­ки ПО на рос­сий­ский рынок.
• Ес­ли в 2022 году биз­несу тре­бова­лось 3,24% прог­раммис­тов с хорошим зна­нием англий­ско­го, то теперь этот показа­тель сни­зил­ся до 2,39%.

• Ук­репив­шиеся отно­шения Рос­сии и Китая не уве­личи­ли спрос на прог­раммис­тов, зна­ющих этот язык. Наобо­рот — спрос на них упал поч­ти в два раза, с 0,3 до 0,18%.
• В слу­чае с немец­ким язы­ком пот­ребность в зна­ющих его раз­работ­чиках сок­ратилась более чем вдвое — с 0,17 до 0,08%. Для араб­ско­го спрос сни­зил­ся с 0,13 до 0,11%, испан­ско­го — с 0,18 до 0,08%.
• Единс­твен­ным исклю­чени­ем стал фран­цуз­ский. Зна­ющие этот язык прог­раммис­ты всег­да были не слиш­ком вос­тре­бова­ны в Рос­сии, и их тре­буемая доля в шта­те ком­паний за год не изме­нилась, оставшись на уров­не 0,7%.
• При этом отме­чает­ся, что рас­тет спрос на спе­циалис­тов по прод­вижению со зна­нием инос­тран­ных язы­ков. Это каса­ется мар­кетоло­гов, ме­нед­жеров по про­дажам, а так­же сот­рудни­ков PR-служб.

У Microsoft украли ключ MSA

Ком­пания Microsoft наконец рас­ска­зала, как китай­ские хакеры из груп­пиров­ки Storm-0558 смог­ли похитить ключ под­писи, который затем был исполь­зован для взло­ма пра­витель­ствен­ных учрежде­ний в США и стра­нах Запад­ной Евро­пы. Ока­залось, ключ был получен из ава­рий­ного дам­па Windows (crash dump), пос­ле взло­ма кор­поратив­ной учет­ной записи инже­нера Microsoft.

О кра­же клю­ча MSA и ата­ке на Exchange Online и Azure Active Directory (AD) более двух десят­ков орга­низа­ций по все­му миру, вклю­чая пра­витель­ствен­ные учрежде­ния в США и стра­нах Запад­ной Евро­пы, ста­ло извес­тно в середи­не июля 2023 года.

Тог­да сооб­щалось, что в середи­не мая зло­умыш­ленни­кам уда­лось получить дос­туп к учет­ным записям Outlook, при­над­лежащим при­мер­но 25 орга­низа­циям, а так­же к некото­рым учет­ным записям поль­зовате­лей, которые, веро­ятно, были свя­заны с эти­ми орга­низа­циями. Наз­вания пос­тра­дав­ших орга­низа­ций и госуч­режде­ний не были рас­кры­ты. Извес­тно лишь, что в чис­ле пос­тра­дав­ших Гос­деп США и Минис­терс­тво тор­говли стра­ны.

Как объ­ясня­ли в Microsoft, для этой ата­ки зло­умыш­ленни­ки исполь­зовали токены аутен­тифика­ции, под­делан­ные с помощью крип­тогра­фичес­кого клю­ча MSA (Microsoft account consumer signing key), который исполь­зует­ся для под­писания токенов. Бла­года­ря 0-day-проб­леме, свя­зан­ной с валида­цией в GetAccessTokenForResourceAPI, хакеры смог­ли под­делать чужие под­писан­ные токены Azure Active Directory и выдать себя за сво­их жертв.

При этом ана­лити­ки ком­пании Wiz, спе­циали­зиру­ющей­ся на облачной безопас­ности, за­явля­ли, что проб­лема зат­ронула вооб­ще все при­ложе­ния Azure AD, работа­ющие с Microsoft OpenID v2.0. Дело в том, что укра­ден­ный ключ мог под­писать любой токен дос­тупа OpenID v2.0 для лич­ных учет­ных записей (нап­ример, Xbox, Skype) и муль­титенан­тных при­ложе­ний Azure AD при опре­делен­ных усло­виях.

В ответ на эти обви­нения иссле­дова­телей пред­ста­вите­ли Microsoft заяви­ли, что ком­пания отоз­вала все клю­чи MSA, что­бы гаран­тировать, что зло­умыш­ленни­ки не име­ют дос­тупа к дру­гим ском­про­мети­рован­ным клю­чам (что пол­ностью пре­дот­вра­щает любые попыт­ки соз­дания новых токенов).

Так­же под­черки­валось, что пос­ле анну­лиро­вания укра­ден­ного клю­ча спе­циалис­ты Microsoft не выяви­ли допол­нитель­ных доказа­тель­ств, ука­зыва­ющих на несан­кци­они­рован­ный дос­туп к учет­ным записям кли­ентов с исполь­зовани­ем того же метода под­делки токенов.

Па­рал­лель­но выяс­нилось, что до это­го инци­ден­та воз­можнос­ти вес­ти жур­налы были дос­тупны толь­ко кли­ентам Microsoft, которые опла­тили соот­ветс­тву­ющую лицен­зию Purview Audit (Premium). Из‑за это­го Microsoft стол­кну­лась с серь­езной кри­тикой со сто­роны ИБ‑сооб­щес­тва, и экспер­ты заяви­ли, что сама Microsoft мешала орга­низа­циям опе­ратив­но обна­ружить ата­ки Storm-0558.

В резуль­тате под дав­лени­ем сооб­щес­тва и Агентства по кибер­безопас­ности и защите инфраструк­туры США (CISA) ком­пания сог­ласилась бес­плат­но рас­ширить дос­туп к дан­ным облачных жур­налов, что­бы защит­ники мог­ли обна­ружи­вать подоб­ные попыт­ки взло­ма в будущем.

Но все это вре­мя в Microsoft не объ­ясня­ли, каким обра­зом такой важ­ный ключ MSA вооб­ще мог ока­зать­ся в руках хакеров.

Как теперь рас­ска­зали в ком­пании, рас­сле­дова­ние инци­ден­та выяви­ло, что ключ MSA попал в ава­рий­ный дамп, соз­данный пос­ле сбоя сис­темы, еще в апре­ле 2021 года.

По сло­вам пред­ста­вите­лей Microsoft, обыч­но такие клю­чи доверя­ют толь­ко избран­ным сот­рудни­кам, про­шед­шим про­вер­ку на бла­гона­деж­ность, и лишь в том слу­чае, если они исполь­зуют выделен­ные рабочие стан­ции, защищен­ные мно­гофак­торной аутен­тифика­цией и исполь­зовани­ем аппа­рат­ных токенов безопас­ности.

При­чем ради безопас­ности в этой сре­де не допус­кает­ся даже исполь­зование элек­трон­ной поч­ты, кон­ференц‑свя­зи и дру­гих средств для сов­мес­тной работы, ведь это наибо­лее рас­простра­нен­ные век­торы для атак с исполь­зовани­ем мал­вари и фишин­га. Кро­ме того, эта сре­да отде­лена от осталь­ной сети Microsoft, где сот­рудни­ки име­ют дос­туп к элек­трон­ной поч­те и про­чим инс­тру­мен­там.

Нес­мотря на то что ава­рий­ный дамп не дол­жен содер­жать клю­чи под­писи, неиз­вес­тная ошиб­ка (которая уже исправ­лена), свя­зан­ная с сос­тоянием гон­ки, при­вела к тому, что ключ попал в дамп, но это­го ник­то не заметил из‑за дру­гой ошиб­ки (тоже уже исправ­ленной). Поз­же этот дамп был перене­сен из изо­лиро­ван­ной сети ком­пании в кор­поратив­ную сре­ду отладки, дос­тупную из интерне­та.

В ито­ге зло­умыш­ленни­ки обна­ружи­ли тот самый ключ пос­ле взло­ма кор­поратив­ной учет­ной записи неназ­ванно­го инже­нера Microsoft, который имел дос­туп к этой сре­де отладки. Сооб­щает­ся, что взлом был осу­щест­влен с помощью «вре­донос­ного ПО, похища­юще­го токены».

«Из‑за полити­ки хра­нения жур­налов у нас нет логов с кон­крет­ными доказа­тель­ства­ми кра­жи дан­ных зло­умыш­ленни­ком, но это был наибо­лее веро­ятный механизм, с помощью которо­го зло­умыш­ленни­ки мог­ли получить ключ, — сооб­щает Microsoft. — Наши методы ска­ниро­вания не обна­ружи­ли при­сутс­твия зло­умыш­ленни­ков, но эта проб­лема уже исправ­лена».

Так­же в сооб­щении ком­пании объ­ясни­ли еще одну «загад­ку»: как прос­рочен­ный пот­ребитель­ский ключ мог исполь­зовать­ся для под­делки токенов важ­ных кор­поратив­ных при­ложе­ний. Дело в том, что в 2018 году ком­пания Microsoft пред­ста­вила новый фрей­мворк, который работал как с пот­ребитель­ски­ми, так и с кор­поратив­ными облачны­ми при­ложе­ниями. Одна­ко еще одна ошиб­ка помеша­ла кор­рек­тной работе прог­рам­мно­го интерфей­са, который пред­назна­чал­ся для крип­тогра­фичес­кой про­вер­ки того, какой ключ исполь­зовать для кор­поратив­ных учет­ных записей, а какой — для пот­ребитель­ских.

Тог­да ком­пания обно­вила свою докумен­тацию и биб­лиоте­ки, что­бы раз­работ­чики при­ложе­ний мог­ли исполь­зовать этот эндпо­инт для обес­печения Single Sign-On. Но Microsoft не обес­печила в этих биб­лиоте­ках кор­рек­тных авто­мати­чес­ких про­верок, которые мог­ли бы гаран­тировать, что, нап­ример, кор­поратив­ный поль­зователь не прой­дет валида­цию с исполь­зовани­ем пот­ребитель­ско­го клю­ча.

И даже инже­неры самой Microsoft, начав­шие исполь­зовать этот эндпо­инт в 2022 году, тоже не осоз­навали, что над­лежащие про­вер­ки отсутс­тву­ют.

«Таким обра­зом, поч­товая сис­тема при­нима­ла зап­рос на кор­поратив­ную поч­ту, исполь­зуя токен безопас­ности, под­писан­ный пот­ребитель­ским клю­чом», — гла­сит отчет об инци­ден­те.

Под­черки­вает­ся, что эту проб­лему тоже уже устра­нили.

Ин­терес­но, что Microsoft упор­но избе­гает сло­ва «уяз­вимость» при опи­сании инци­ден­та, свя­зан­ного с ата­ками Storm-0558. Вмес­то это­го ком­пания исполь­зует сло­во «проб­лема». На прось­бу жур­налис­тов объ­яснить, что под­разуме­вает­ся под тер­мином «проб­лема», в ком­пании отве­тили: «Уяз­вимость — это спе­цифи­чес­кий тер­мин, и мы бы исполь­зовали тер­мин „уяз­вимость“, если бы он был умес­тен. Под „проб­лемой“ понима­ются такие вещи, как неп­равиль­ная кон­фигура­ция, ошиб­ки опе­рато­ра и слу­чай­ные побоч­ные про­дук­ты дру­гих дей­ствий».

Китай обвиняет США в шпионаже

Ми­нис­терс­тво государс­твен­ной безопас­ности КНР опуб­ликова­ло офи­циаль­ное заяв­ление, в котором обви­нило США во взло­ме сер­веров ком­пании Huawei в 2009 году и про­веде­нии ряда дру­гих кибера­так с целью хищения важ­ных дан­ных.

Как гла­сит заяв­ление, в 2022 году было обна­руже­но, что США «осу­щес­тви­ли десят­ки тысяч вре­донос­ных атак», в том чис­ле на Северо‑Запад­ный политех­ничес­кий уни­вер­ситет, кон­тро­лиро­вали десят­ки тысяч сетевых устрой­ств и в ито­ге похити­ли мно­жес­тво цен­ных дан­ных.

Так­же аме­рикан­ские влас­ти обви­нили в том, что они при­нуди­ли мно­жес­тво тех­нологи­чес­ких ком­паний к внед­рению бэк­доров в ПО и обо­рудо­вание и заручи­лись помощью круп­ных тех­нологи­чес­ких брен­дов в воп­росах монито­рин­га и кра­жи дан­ных.

«Уже дав­но ни для кого не сек­рет, что Соеди­нен­ные Шта­ты дав­но полага­ются на свои тех­нологи­чес­кие пре­иму­щес­тва для про­веде­ния круп­номас­штаб­ной слеж­ки за стра­нами по все­му миру, вклю­чая сво­их союз­ников, и осу­щест­вля­ют кибер­кра­жи.

В то же вре­мя США изо всех сил ста­рают­ся изоб­разить себя жер­твой кибера­так, подс­тре­кая и при­нуж­дая дру­гие стра­ны при­соеди­нить­ся к так называ­емой прог­рамме „чис­той сети“ под лозун­гом под­держа­ния сетевой безопас­ности и в попыт­ке устра­нить китай­ские ком­пании с меж­дународ­ного сетево­го рын­ка.

На самом деле „чис­тая сеть“ — это ложь, а вот подав­ление оппо­нен­тов и под­держа­ние гегемо­нии — прав­да. В свя­зи с этим китай­ские офи­циаль­ные лица неод­нократ­но при­зыва­ли Соеди­нен­ные Шта­ты глу­боко задумать­ся, прек­ратить кибера­таки и кра­жу сек­ретов со все­го мира, а так­же перес­тать вво­дить общес­твен­ность в заб­лужде­ние все­воз­можной лож­ной информа­цией», — заяв­ляют в Минис­терс­тве государс­твен­ной безопас­ности КНР.

Крупная сеть казино заплатила хакерам

Ком­пания Caesars Entertainment, называ­ющая себя круп­ней­шей сетью казино в США с самой мас­штаб­ной прог­раммой лояль­нос­ти в отрасли, сооб­щила, что пос­тра­дала от кибера­таки и в ито­ге зап­латила хакерам выкуп, что­бы избе­жать утеч­ки дан­ных кли­ентов. Иссле­дова­тели счи­тают, что за этим взло­мом мог­ла сто­ять груп­пиров­ка Scattered Spider, недав­но ата­ковав­шая MGM Resorts.

Сог­ласно докумен­там, которые Caesars Entertainment подала в Комис­сию по цен­ным бумагам и бир­жам США, ата­ка была обна­руже­на 7 сен­тября 2023 года. В ходе рас­сле­дова­ния инци­ден­та выяс­нилось, что зло­умыш­ленни­ки похити­ли БД прог­раммы лояль­нос­ти ком­пании, в чис­ле про­чего содер­жавшую дан­ные водитель­ских прав и номера соци­аль­ного стра­хова­ния кли­ентов.

Сам инци­дент опи­сыва­ется как «свя­зан­ная с соци­аль­ной инже­нери­ей ата­ка на пос­тавщи­ка аут­сорсин­говой ИТ‑под­дер­жки» и не пов­лиял на опе­рации ком­пании и работу с кли­ента­ми.

Так­же в докумен­тах упо­мина­ется, что ком­пания зап­латила зло­умыш­ленни­кам выкуп, что­бы не допус­тить утеч­ки похищен­ных дан­ных. По информа­ции СМИ, Caesars Entertainment вып­латила хакерам при­мер­но 15 мил­лионов дол­ларов, при­чем изна­чаль­но зло­умыш­ленни­ки тре­бова­ли у ком­пании вдвое боль­ше — 30 мил­лионов дол­ларов.

При этом в Caesars Entertainment приз­нают, что не могут пре­дос­тавить никаких гаран­тий отно­ситель­но даль­нейших дей­ствий зло­умыш­ленни­ков. То есть не исклю­чено, что хакеры все рав­но могут про­дать или опуб­ликовать в сети похищен­ную информа­цию о кли­ентах.

«Мы пред­при­няли шаги, что­бы убе­дить­ся, что похищен­ные дан­ные уда­лены неав­торизо­ван­ным субъ­ектом, но не можем гаран­тировать резуль­тат. Мы сле­дим за ситу­ацией в интерне­те и (пока) не обна­ружи­ли никаких приз­наков того, что эти дан­ные рас­простра­няют даль­ше, опуб­ликова­ны (в откры­том дос­тупе) или исполь­зованы не по наз­начению», — гла­сят бумаги.

Хо­тя в сво­ем отче­те Caesars Entertainment не свя­зыва­ет эту ата­ку с какой‑либо кон­крет­ной хак­груп­пой, за этим инци­ден­том может сто­ять груп­пиров­ка Scattered Spider, которую так­же обоз­нача­ют как 0ktapus (Group-IB), UNC3944 (Mandiant) и Scatter Swine (Okta).

По дан­ным иссле­дова­телей, эта груп­пиров­ка в основном исполь­зует соци­аль­ную инже­нерию для взло­ма кор­поратив­ных сетей. Так, зло­умыш­ленни­ки выда­ют себя за спе­циалис­тов тех­ничес­кой под­дер­жки (что­бы выманить у поль­зовате­лей учет­ные дан­ные), исполь­зуют ата­ки на под­мену SIM-кар­ты (что­бы зах­ватить кон­троль над нуж­ным телефон­ным номером), а так­же фишинг и дру­гие методы (что­бы обой­ти мно­гофак­торную аутен­тифика­цию).

Ин­терес­но, что эту же груп­пиров­ку свя­зыва­ют с недав­ней ата­кой на MGM Resorts, которая вла­деет сетями оте­лей, курор­тов и казино по все­му миру. Этот инци­дент при­вел к отклю­чению мно­гих компь­ютер­ных сис­тем ком­пании, в том чис­ле сай­тов круп­ней­ших оте­лей Лас‑Вегаса и Нью‑Йор­ка, сис­тем бро­ниро­вания и некото­рых услуг в казино.

Лучшие языки программирования по версии IEEE Spectrum

• Жур­нал IEEE Spectrum, изда­ваемый Инсти­тутом инже­неров элек­тро­тех­ники и элек­тро­ники (IEEE), уже в десятый раз сос­тавил собс­твен­ный рей­тинг популяр­ности язы­ков прог­рамми­рова­ния. В 2023 году экспер­ты сно­ва изу­чили вли­яние раз­ных язы­ков на сооб­щес­тво, а так­же учли их вос­тре­бован­ность и инте­рес к кон­крет­ным язы­кам со сто­роны раз­работ­чиков.
• Пер­вое мес­то по‑преж­нему оста­ется за Python, который удер­жива­ет лидиру­ющую позицию за счет более мел­ких и более спе­циали­зиро­ван­ных язы­ков, а так­же все чаще исполь­зует­ся, нап­ример, в работе над ИИ.
• Так­же в пер­вую пятер­ку популяр­ных язы­ков вхо­дят Java, C++, C и JavaScript.

• При этом наибо­лее популяр­ным навыком при поис­ке работы стал вов­се не Python, а SQL. Дело в том, что работо­дате­ли пред­почита­ют, что­бы соис­катель раз­бирал­ся в SQL и вла­дел им в тан­деме с каким‑либо язы­ком прог­рамми­рова­ния (нап­ример, Java или C++).

Google критикуют из-за бага в libwebp

В кон­це сен­тября ком­пания Google, не делая никаких анон­сов, перес­мотре­ла рей­тинг уяз­вимос­ти CVE-2023-4863, свя­зан­ной с опен­сор­сной биб­лиоте­кой libwebp. Теперь, как и пре­дуп­режда­ли мно­гие ИБ‑экспер­ты, эта проб­лема, зат­рагива­ющая тысячи при­ложе­ний, оце­нива­ется как кри­тичес­кая (10 бал­лов из 10 воз­можных по шка­ле CVSS) и име­ет собс­твен­ный иден­тифика­тор CVE — CVE-2023-5129.

Из­началь­но ком­пания рас­кры­ла дан­ные об этой уяз­вимос­ти в Chrome в середи­не сен­тября, прис­воив ей иден­тифика­тор CVE-2023-4863. Тог­да ком­пания не упо­мина­ла о свя­зи это­го бага с биб­лиоте­кой libwebp, раз­работан­ной внут­ри самой Google для обра­бот­ки изоб­ражений WebP.

Вско­ре об устра­нении этой же проб­лемы от­читались экспер­ты Apple Security Engineering and Architecture (SEAR) и ком­пании Citizen Lab (здесь баг отсле­живал­ся как CVE-2023-41064), а так­же раз­работ­чики Mozilla Firefox. Ста­ло понят­но, что речь идет об одной и той же уяз­вимос­ти, которую ком­пании почему‑то исправ­ляют порознь, и о ско­орди­ниро­ван­ном рас­кры­тии информа­ции речи явно не идет.

Спе­циалис­ты Citizen Lab и вов­се заяв­ляли, что проб­лема CVE-2023-41064 при­меня­лась зло­умыш­ленни­ками как часть цепоч­ки zero-click-экс­пло­итов для iMessage, которая получи­ла общее наз­вание BLASTPASS.

Про­исхо­дящее выз­вало немалое замеша­тель­ство в ИБ‑сооб­щес­тве, а у спе­циалис­тов по информа­цион­ной безопас­ности воз­никло мно­го воп­росов к Google, которая по неиз­вес­тным при­чинам решила не свя­зывать эту ошиб­ку с libwebp, тем самым пос­тавив под угро­зу тысячи при­ложе­ний, исполь­зующих эту биб­лиоте­ку.

Де­ло в том, что libwebp исполь­зует­ся в сос­таве прак­тичес­ки каж­дого при­ложе­ния, ОС и дру­гих биб­лиотек, которые работа­ют с изоб­ражени­ями фор­мата WebP. В пер­вую оче­редь это отно­сит­ся к фрей­мвор­ку Electron, который при­меня­ется в Chrome и мно­гих дру­гих при­ложе­ниях для дес­ктоп­ных и мобиль­ных устрой­ств. То есть перед багом ока­зались уяз­вимы мно­гочис­ленные про­екты, исполь­зующие libwebp, вклю­чая Microsoft Teams, 1Password, Signal, Safari, Mozilla Firefox, Microsoft Edge, Opera и натив­ные бра­узе­ры для Android.

В ито­ге ком­пания под­вер­глась кри­тике со сто­роны экспер­тов и СМИ, которые под­черки­вали, что умал­чивание о проб­леме в libwebp при­ведет лишь к ненуж­ным задер­жкам в выходе пат­чей, а зло­умыш­ленни­ки тем вре­менем будут выпол­нять вре­донос­ный код, прос­то показы­вая поль­зовате­лям вре­донос­ные изоб­ражения WebP.

В кон­це сен­тября ком­пания Google, не прив­лекая лиш­него вни­мания, наконец внес­ла изме­нения в свой бюл­летень безопас­ности, пос­вящен­ный изна­чаль­ной проб­леме CVE-2023-4863.

Ес­ли ранее в ком­пании сооб­щали, что проб­лема свя­зана с перепол­нени­ем буфера хипа WebP в Chrome, а сре­ди зат­ронутых про­дук­тов упо­минал­ся толь­ко сам бра­узер Google, теперь Google выпус­тила новое сооб­щение, в котором пред­ста­вила более деталь­ное опи­сание уяз­вимос­ти. Проб­леме был прис­воен новый иден­тифика­тор — CVE-2023-5129.

Те­перь зат­ронутая проб­лемой биб­лиоте­ка libwebp наконец была упо­мяну­та офи­циаль­но, а рей­тинг уяз­вимос­ти повышен до мак­сималь­ного — 10 бал­лов из 10 воз­можных по шка­ле CVSS (про­тив 8,8 бал­ла, ранее прис­воен­ных багу CVE-2023-4863).

Как объ­ясня­ется теперь, баг был свя­зан с алго­рит­мом Хаф­фма­на, который исполь­зует­ся libwebp для lossless-сжа­тия, и поз­воля­ет зло­умыш­ленни­кам выпол­нять запись out-of-bounds с исполь­зовани­ем вре­донос­ных HTML-стра­ниц.

Сотрудник Microsoft слил в сеть 38 Тбайт данных

Ана­лити­ки ком­пании Wiz обна­ружи­ли мас­штаб­ную утеч­ку, допущен­ную одним из сот­рудни­ков Microsoft. Обновляя свя­зан­ные с ИИ матери­алы на GitHub, сот­рудник слу­чай­но выложил в откры­тый дос­туп 38 Тбайт кон­фиден­циаль­ных дан­ных, сре­ди которых были при­ват­ные клю­чи, пароли, а так­же боль­ше 30 тысяч внут­ренних сооб­щений из Microsoft Teams.

«Мы обна­ружи­ли на GitHub управля­емый Microsoft репози­торий robust-models-transfer. Этот репози­торий при­над­лежит иссле­дова­тель­ско­му под­разде­лению Microsoft по искусс­твен­ному интеллек­ту, и его цель — пре­дос­тавле­ние откры­тых исходных кодов и ИИ‑моделей для рас­позна­вания изоб­ражений», — рас­ска­зыва­ют иссле­дова­тели.

Ока­залось, что еще в 2020 году Microsoft исполь­зовала для переда­чи дан­ных токены Azure SAS (Shared Access Signature), которые поз­воля­ют делить­ся информа­цией из акка­унтов Azure Storage. Хотя уро­вень дос­тупа может быть огра­ничен толь­ко кон­крет­ными фай­лами, в этом слу­чае ссыл­ка была нас­тро­ена неп­равиль­но — на общий дос­туп ко всей учет­ной записи, вклю­чая 38 Тбайт лич­ных фай­лов.

«Этот URL-адрес пре­дос­тавлял дос­туп не толь­ко к опен­сор­сным моделям для обу­чения ИИ. Он был нас­тро­ен таким обра­зом, что давал пра­ва на дос­туп ко всей учет­ной записи Azure Storage, что по ошиб­ке при­вело к рас­кры­тию лич­ных дан­ных», — говорят пред­ста­вите­ли Wiz.

Слу­чай­но ском­про­мети­рован­ная учет­ная запись содер­жала 38 Тбайт информа­ции, вклю­чая резер­вные копии с пер­сональ­ных компь­юте­ров сот­рудни­ков Microsoft.

«Резер­вные копии содер­жали кон­фиден­циаль­ные лич­ные дан­ные, вклю­чая пароли к сер­висам Microsoft, сек­ретные клю­чи и более 30 000 внут­ренних сооб­щений Microsoft Teams от 359 сот­рудни­ков Microsoft», — под­счи­тали иссле­дова­тели.

Бо­лее того, токен ока­зал­ся неп­равиль­но скон­фигури­рован и в резуль­тате пре­дос­тавлял пра­ва не толь­ко чте­ния, но давал всем жела­ющим (вклю­чая потен­циаль­ных зло­умыш­ленни­ков) воз­можность уда­лять и переза­писы­вать сущес­тву­ющие фай­лы.

«Зло­умыш­ленник мог бы внед­рить вре­донос­ный код во все ИИ‑модели в этой учет­ной записи Storage, и каж­дый поль­зователь, впос­ледс­твии доверив­ший­ся GitHub-репози­торию ком­пании Microsoft, ока­зал­ся бы заражен», — рас­ска­зали иссле­дова­тели.

В сво­ем отче­те спе­циалис­ты Wiz отме­чают, что токены SAS в целом пред­став­ляют серь­езную угро­зу безопас­ности (из‑за отсутс­твия монито­рин­га и управле­ния), а их исполь­зование дол­жно быть мак­сималь­но огра­ниче­но. Экспер­ты заяв­ляют, что такие токены очень слож­но отсле­живать, пос­коль­ку Microsoft не пре­дос­тавля­ет цен­тра­лизо­ван­ного спо­соба управле­ния ими в рам­ках пор­тала Azure. Кро­ме того, токены мож­но нас­тро­ить таким обра­зом, что «срок их дей­ствия будет фак­тичес­ки веч­ным, без вер­хне­го пре­дела».

По дан­ным Wiz, инже­неры Microsoft анну­лиро­вали SAS-токен в течение двух дней пос­ле того, как им сооб­щили об этой проб­леме (в июне текуще­го года). Через месяц этот токен был заменен на GitHub.

В Microsoft сооб­щили, что в ходе этой утеч­ки не были рас­кры­ты дан­ные кли­ентов и никакие внут­ренние сер­висы ком­пании не под­верга­лись рис­кам из‑за про­изо­шед­шего.