В этом месяце: Джу­лиан Ассанж вышел на сво­боду, в Visual Studio Code Marketplace обна­ружи­ли кучу мал­вари, рек­ламу на YouTube пыта­ются встро­ить пря­мо в виде­опо­ток, для Raspberry Pi пред­став­лен AI Kit, запуск Windows Recall отло­жили из сооб­ражений безопас­ности, новые вла­дель­цы polyfill(.)io мог­ли ском­про­мети­ровать десят­ки мил­лионов сай­тов, а так­же дру­гие инте­рес­ные события июня.
 

Вредоносный VSCode

Из­раиль­ские иссле­дова­тели изу­чили безопас­ность Visual Studio Code и в рам­ках экспе­римен­та сумели «заразить» боль­ше 100 орга­низа­ций, соз­дав клон популяр­ной темы Dracula Official с вре­донос­ным кодом. Даль­нейший ана­лиз VSCode Marketplace и вов­се выявил тысячи опас­ных рас­ширений с мил­лиона­ми уста­новок.

Visual Studio Code (VSCode) — редак­тор исходно­го кода, выпус­каемый ком­пани­ей Microsoft, который исполь­зует­ся раз­работ­чиками по все­му миру. Так­же Microsoft управля­ет магази­ном Visual Studio Code Marketplace, в котором пред­лага­ются рас­ширения, уве­личи­вающие фун­кци­ональ­ность при­ложе­ния и пре­дос­тавля­ющие боль­ше воз­можнос­тей для кас­томиза­ции.

В ходе экспе­римен­та ИБ‑иссле­дова­тели Амит Асса­раф (Amit Assaraf), Итай Крук (Itay Kruk) и Идан Дар­дикман (Idan Dardikman) соз­дали рас­ширение, ими­тиру­ющее Dracula Official — популяр­ную тему, нас­читыва­ющую более 7 мил­лионов уста­новок в VSCode Marketplace.

Фаль­шивое рас­ширение исполь­зовало тай­псквот­тинг и называ­лось Darcula, и иссле­дова­тели зарегис­три­рова­ли соот­ветс­тву­ющий домен по адре­су darculatheme.com. Этот домен поз­волил им получить ста­тус про­верен­ного изда­теля на VSCode Marketplace, что при­дало под­делке убе­дитель­нос­ти.

Рас­ширение исполь­зовало код легитим­ной темы Dracula, но так­же содер­жало допол­нитель­ный скрипт, который собирал информа­цию о сис­теме (вклю­чая имя хос­та, количес­тво уста­нов­ленных рас­ширений, домен­ное имя устрой­ства и информа­цию об ОС), а затем переда­вал все это на уда­лен­ный сер­вер через HTTPS-зап­рос POST.

Пос­коль­ку экспе­римент не прес­ледовал вре­донос­ных целей, ана­лити­ки соб­рали толь­ко опоз­наватель­ную информа­цию, а так­же вклю­чили соот­ветс­тву­ющее пре­дуп­режде­ние в Read Me, лицен­зию и код рас­ширения.

Ис­сле­дова­тели отме­чают, что вре­донос­ный код не обна­ружи­вал­ся EDR-решени­ями, пос­коль­ку к VSCode зачас­тую отно­сят­ся снис­ходитель­но.

«К сожале­нию, тра­дици­онные средс­тва защиты конеч­ных точек (EDR) не обна­ружи­вают эту активность. VSCode соз­дан для чте­ния боль­шого количес­тва фай­лов, выпол­нения мно­жес­тва команд и соз­дания дочер­них про­цес­сов, поэто­му EDR не могут опре­делить, явля­ется ли эта активность VSCode нор­маль­ной деятель­ностью раз­работ­чика или приз­наком вре­донос­ного рас­ширения», — пишет Амит Асса­раф.

В ито­ге фаль­шивое рас­ширение быс­тро наб­рало популяр­ность: по ошиб­ке его уста­нови­ли мно­жес­тво круп­ных орга­низа­ций, вклю­чая неназ­ванную ком­панию с рыноч­ной сто­имостью 483 мил­лиар­да дол­ларов, ряд круп­ных охранных ком­паний и наци­ональ­ную судеб­ную сеть. Иссле­дова­тели не ста­ли рас­кры­вать наз­вания пос­тра­дав­ших орга­низа­ций.

Уже пос­ле про­веде­ния экспе­римен­та спе­циалис­ты решили изу­чить дру­гие угро­зы в VSCode Marketplace, исполь­зуя раз­работан­ный ими инс­тру­мент ExtensionTotal, пред­назна­чен­ный для поис­ка потен­циаль­но опас­ных рас­ширений, их рас­паков­ки и тща­тель­ного иссле­дова­ния подоз­ритель­ных фраг­ментов кода. В ито­ге они выяви­ли:

  • 1283 рас­ширения с извес­тным вре­донос­ным кодом (сум­марно 229 мил­лионов уста­новок);
  • 8161 рас­ширение, свя­зыва­ющееся с жес­тко закоди­рован­ными IP-адре­сами;
  • 1452 запущен­ных неиз­вес­тных исполня­емых фай­ла;
  • 2304 рас­ширения, исполь­зующих GitHub-репози­тории дру­гих изда­телей, что сви­детель­ству­ет о том, что это лишь под­ражате­ли.

Эк­спер­ты пре­дуп­режда­ют, что из‑за отсутс­твия стро­гих механиз­мов кон­тро­ля и про­вер­ки кода в VSCode Marketplace зло­умыш­ленни­ки могут бес­пре­пятс­твен­но зло­упот­реблять плат­формой, при­чем по мере рос­та ее популяр­ности ситу­ация ухуд­шает­ся.

«Циф­ры говорят о том, что в магази­не Visual Studio Code сущес­тву­ет огромное количес­тво рас­ширений, пред­став­ляющих опас­ность для орга­низа­ций, — пре­дуп­режда­ют иссле­дова­тели. — Рас­ширения для VSCode — это век­тор атак с нулевой видимостью, которым зло­упот­ребля­ют и который может иметь серь­езные пос­ледс­твия и нес­ти серь­езные рис­ки. Эта проб­лема пред­став­ляет пря­мую угро­зу для орга­низа­ций и зас­лужива­ет вни­мания ИБ‑сооб­щес­тва».

Ин­форма­ция обо всех вре­донос­ных рас­ширени­ях, обна­ружен­ных иссле­дова­теля­ми, была переда­на спе­циалис­там Microsoft.

В бли­жай­шее вре­мя иссле­дова­тели пла­ниру­ют бес­плат­но опуб­ликовать ExtensionTotal вмес­те с под­робным опи­сани­ем его рабочих воз­можнос­тей. Инс­тру­мент дол­жен помочь раз­работ­чикам про­верить свои сре­ды на наличие потен­циаль­ных угроз.

У биржи украли 4502 биткоина

  • У япон­ской крип­товалют­ной бир­жи DMM Bitcoin похити­ли 4502,9 бит­коина, то есть око­ло 308 мил­лионов дол­ларов по кур­су на момент взло­ма. Это самое круп­ное крип­тоог­рабле­ние в 2024 году и вось­мое по величи­не за всю исто­рию наб­людений.
  • Пред­ста­вите­ли DMM Bitcoin завери­ли, что все депози­ты кли­ентов в бит­коинах будут пол­ностью обес­печены и попол­нены на сум­му, экви­вален­тную похищен­ной.
 

Rafel RAT против старых «Андроидов»

Опен­сор­сная мал­варь Rafel RAT для Android исполь­зует­ся зло­умыш­ленни­ками для атак на уста­рев­шие устрой­ства, пре­дуп­редили в ком­пании Check Point. В некото­рых слу­чаях хакеры пыта­ются бло­киро­вать устрой­ства с помощью вымога­тель­ско­го модуля и через Telegram тре­буют опла­ты выкупа.

Rafel RAT уже при­меня­ется как минимум в 120 вре­донос­ных кам­пани­ях во мно­гих стра­нах мира (боль­шинс­тво пос­тра­дав­ших находят­ся в США и Индо­незии, но и Рос­сию эти ата­ки тоже зат­ронули). За некото­рыми из атак сто­ят извес­тные хак­груп­пы, нап­ример APT-C-35 (DoNot Team), в то вре­мя как в дру­гих слу­чаях ата­кующие неиз­вес­тны, а вре­донос­ная активность исхо­дит из Ира­на и Пакис­тана.

В боль­шинс­тве рас­смот­ренных Check Point атак жер­твы исполь­зовали ста­рые вер­сии Android, под­дер­жка которых уже закон­чилась, так что ОС боль­ше не получа­ла обновле­ний безопас­ности. Так, на Android 11 и стар­ше приш­лось более 87,5% от обще­го чис­ла зараже­ний. И лишь 12,5% заражен­ных устрой­ств работа­ли под управле­нием Android 12 или 13.

Что каса­ется брен­дов и моделей устрой­ств, под­вер­гших­ся ата­кам, сре­ди них были Samsung Galaxy, Google Pixel, Xiaomi Redmi, Motorola One, а так­же устрой­ства OnePlus, Vivo и Huawei. Поэто­му экспер­ты дела­ют вывод, что Rafel RAT весь­ма эффекти­вен про­тив мно­жес­тва раз­личных вер­сий Android.

Тро­ян рас­простра­няет­ся раз­ными спо­соба­ми, но чаще все­го зло­умыш­ленни­ки мас­киру­ются под извес­тные брен­ды (вклю­чая Instagram*, WhatsApp, популяр­ные e-commerce-плат­формы и анти­вирус­ные при­ложе­ния), что­бы обма­ном вынудить поль­зовате­лей заг­рузить вре­донос­ные APK.

За­тем во вре­мя уста­нов­ки вре­донос зап­рашива­ет дос­туп к опас­ным раз­решени­ям, в том чис­ле раз­решение на работу в фоновом режиме, а так­же вне­сение в спи­сок исклю­чений, что­бы на мал­варь не вли­яла опти­миза­ция батареи.

Ко­ман­ды, под­держи­ваемые Rafel RAT, зависят от кон­крет­ной вер­сии мал­вари, но наибо­лее важ­ные из них такие:

  • ransomware — запус­кает про­цесс шиф­рования фай­лов на устрой­стве;
  • wipe — уда­ляет все фай­лы по ука­зан­ному пути;
  • LockTheScreen — бло­киру­ет экран устрой­ства, делая его неп­ригод­ным для исполь­зования;
  • sms_oku — переда­ет все SMS (вклю­чая коды двух­фактор­ной аутен­тифика­ции) на управля­ющий сер­вер;
  • location_tracker — переда­ет дан­ные о мес­тополо­жении устрой­ства на управля­ющий сер­вер.

По дан­ным иссле­дова­телей, при­мер­но в 10% атак была задей­ство­вана коман­да ransomware, то есть хакеры шиф­ровали фай­лы на устрой­стве с помощью заранее опре­делен­ного клю­ча AES и вымога­ли выкуп у жертв.

Ес­ли вре­донос получил на устрой­стве пра­ва DeviceAdmin, у него появ­ляет­ся кон­троль над важ­ней­шими фун­кци­ями, вклю­чая воз­можность изме­нять пароль бло­киров­ки экра­на и добав­лять на экран про­изволь­ное сооб­щение, час­то пред­став­ляющее собой запис­ку с тре­бова­нием выкупа.

Ху­же того, если поль­зователь попыта­ется отоз­вать пра­ва адми­нис­тра­тора у Rafel RAT, мал­варь может отре­аги­ровать сме­ной пароля и немед­ленной бло­киров­кой экра­на.

Ана­лити­ки наб­людали нес­коль­ко опе­раций с исполь­зовани­ем Rafel RAT, в час­тнос­ти ата­ку из Ира­на, в ходе которой перед запус­ком модуля шиф­рования была про­веде­на раз­ведка с исполь­зовани­ем дру­гих воз­можнос­тей мал­вари. Так, зло­умыш­ленни­ки сти­рали исто­рию звон­ков, меняли обои на собс­твен­ное сооб­щение, бло­киро­вали экран, акти­виро­вали виб­рацию устрой­ства и отправ­ляли SMS с тре­бова­нием выкупа. Жер­тве пред­лагалось свя­зать­ся с хакера­ми в Telegram, что­бы «решить проб­лему».

Эк­спер­ты напоми­нают, что для защиты от подоб­ных атак сле­дует избе­гать заг­рузки APK из сом­нитель­ных источни­ков, не перехо­дить по URL-адре­сам из элек­трон­ных писем и SMS, а так­же про­верять при­ложе­ния через Play Protect перед их запус­ком.

*При­над­лежит ком­пании Meta, чья деятель­ность приз­нана экс­тре­мист­ской и зап­рещена в Рос­сии.

Сколько зарабатывают неофициальные студии озвучивания

  • Ана­лити­ки ком­пании FACCT изу­чили рынок и доходы за 2023 год 50 неофи­циаль­ных сту­дий озвучки, чьи перево­ды обыч­но исполь­зуют нелегаль­ные рас­простра­ните­ли виде­окон­тента.
  • Нев­зирая на общее падение рын­ка онлайн‑пиратс­тва в 2023 году (в целом он сок­ратил­ся на 16%), активно раз­вива­ются сту­дии аль­тер­натив­ного озву­чива­ния, которые фор­миру­ют вок­руг себя собс­твен­ный рынок. Иссле­дова­тели свя­зыва­ют это с геопо­лити­чес­кой ситу­ацией, а так­же боль­шим чис­лом зарубеж­ных сери­алов и филь­мов, не пред­став­ленных офи­циаль­но в Рос­сии.
  • Ко­личес­тво озву­чек филь­мов и сери­алов в 2023 году пре­выси­ло 22 700.
  • Ми­нималь­ный зарабо­ток изу­чен­ных 50 сту­дий за этот пери­од оце­нива­ется более чем в 61,6 мил­лиона руб­лей.
  • Од­на сту­дия обыч­но занима­ется озву­чива­нием филь­мов и сери­алов кон­крет­ных жан­ров и стран про­изводс­тва. Так, изу­чен­ные сту­дии рас­пре­деля­ются по четырем обоб­щенным жан­рам: филь­мы и сери­алы для мас­сового зри­теля, до­рамы, ани­ме, а так­же ту­рец­кие филь­мы и сери­алы.
  • Не­офи­циаль­ные озву­чива­тели зараба­тыва­ют на спон­сор­ских под­писках (41,9%), до­ходах от рек­ламы и сбо­ров на озвучку (23,4%), рек­ламных доходах с сай­та (20,5%), до­натах (14,2%).
 

AI Kit для Raspberry

В про­дажу пос­тупил модуль AI Kit, пред­назна­чен­ный для Raspberry Pi 5. Модуль соз­дан сов­мес­тно с ком­пани­ей Hailo и содер­жит ней­роп­роцес­сор ее про­изводс­тва, облегча­ющий работу над про­екта­ми, свя­зан­ными с ИИ, ней­росетя­ми и машин­ным обу­чени­ем.

AI Kit пред­став­лен в фор­мате кар­ты рас­ширения HAT+ (Hardware Attached on Top). Новин­ка пос­тро­ена на ней­роп­роцес­соре Hailo-8L (уре­зан­ная вер­сия чипа Hailo-8, анон­сирован­ного ранее в этом году). Модуль пред­став­лен в форм‑фак­торе M.2, то есть его мож­но лег­ко под­клю­чить к HAT+.

Ком­пания Hailo спе­циали­зиру­ется на чипах, пред­назна­чен­ных для выпол­нения рабочих наг­рузок ИИ на перифе­рий­ных устрой­ствах, нап­ример в авто­моби­лях, умных камерах, а теперь и на Raspberry Pi.

Со­обща­ется, что пос­ле под­клю­чения AI Kit к Raspberry Pi 5 устрой­ство смо­жет выпол­нять 13 TOPS (трил­лионов опе­раций в секун­ду). Это не слиш­ком мно­го по срав­нению с GPU Nvidia или ИИ‑ноут­буками с такими про­цес­сорами, как Intel Lunar Lake, на 40+ TOPS, одна­ко решение получа­ется эко­номич­ным и работа­ет со штат­ным бло­ком питания Raspberry Pi на 27 Вт.

По сло­вам тех­ничес­кого дирек­тора Hailo Ави Баума (Avi Baum), чип пот­ребля­ет око­ло одно­го ват­та на каж­дые три TOPS (и не более пяти ватт). А для обыч­ной наг­рузки, вро­де обра­бот­ки видео на 60 FPS в реаль­ном вре­мени, тре­бует­ся поряд­ка одно­го‑двух ватт.

Что каса­ется соф­та, пос­ледняя вер­сия Raspberry Pi OS авто­мати­чес­ки обна­ружи­вает модуль Hailo, поэто­му его сра­зу могут исполь­зовать ОС и соот­ветс­тву­ющие при­ложе­ния.

Кро­ме того, Raspberry Pi обно­вила набор при­ложе­ний для работы с камерой. Теперь, к при­меру, мож­но исполь­зовать камеру для обна­руже­ния объ­ектов («Это авто­мобиль»), семан­тичес­кой сег­мента­ции («Эти три объ­екта — дви­жущи­еся авто­моби­ли»), сег­мента­ции объ­ектов («Эти три дви­жущих­ся авто­моби­ля — гру­зовик, крас­ный авто­мобиль и синий авто­мобиль»), опре­деле­ния поз и раз­метки лиц. При этом под­черки­вает­ся, что чип Hailo мож­но при­менять и для задач, не свя­зан­ных с камерой.

AI Kit уже пос­тупил в про­дажу и рас­простра­няет­ся через «гло­баль­ную сеть одоб­ренных ресел­леров Raspberry Pi» по цене 70 дол­ларов США.

Ру­ково­дитель Raspberry Pi Foundation Эбен Аптон (Eben Upton) отме­тил, что мно­гие боль­шие язы­ковые модели (LLM) слож­но запус­тить даже на мощ­ных ПК, а некото­рые работы все рав­но при­дет­ся выпол­нять в обла­ке. И хотя пока для AI Kit нет широко­го спек­тра вари­антов исполь­зования, Аптон ожи­дает, что его дос­тупная цена при­ведет к «экспо­нен­циаль­ному рос­ту» при­ложе­ний и решений в области ИИ.

Замедление YouTube вероятнее блокировки

Зам­пред комите­та Гос­думы по информа­цион­ной полити­ке Антон Горел­кин рас­ска­зал в сво­ем Telegram-канале, что вари­ант с замед­лени­ем ско­рос­ти работы YouTube в Рос­сии выг­лядит более реалис­тичным, чем пол­ная бло­киров­ка сер­виса на тер­ритории стра­ны.

«Отлично сегод­ня подис­кутиро­вали с экспер­тами РОЦИТ о судь­бе YouTube. Сра­зу ска­жу, что пока нет отве­та на самый популяр­ный воп­рос: „Ког­да его уже заб­локиру­ют?“ К тому же, ско­рее все­го, регуля­тор сна­чала задей­ству­ет не бло­киров­ку, а дру­гую огра­ничи­тель­ную меру — замед­ление ско­рос­ти дос­тупа. И тут есть нюанс.

За­коноп­роект о зап­рете рек­ламы на заб­локиро­ван­ных ресур­сах, который мы с кол­легами внес­ли на рас­смот­рение Гос­думы, зат­ронет YouTube даже в слу­чае замед­ления ско­рос­ти. Это зна­чит, что рек­ламные интегра­ции, которы­ми сей­час активно про­мыш­ляют рос­сий­ские кон­тент‑мей­керы на аме­рикан­ском виде­охос­тинге, ока­жут­ся вне закона. А пос­коль­ку вари­ант с замед­лени­ем YouTube пред­став­ляет­ся более реалис­тичным, чем пол­ная его бло­киров­ка, этот сце­нарий нуж­но дер­жать в голове всем, кто вов­лечен в эту деятель­ность», — пишет Горел­кин.

 

Джулиан Ассанж свободен

Ос­новате­ля WikiLeaks Джу­лиана Ассанжа осво­боди­ли из‑под стра­жи, и он покинул тюрь­му стро­гого режима Бел­марш, где про­вел 1901 день. Ассанжа осво­боди­ли в резуль­тате сдел­ки, которую он зак­лючил с Минис­терс­твом юсти­ции США.

26 июня 2024 года Ассанж пред­стал перед судом на Север­ных Мари­анских остро­вах (США), на остро­ве Сай­пан, и приз­нал себя винов­ным по одно­му из 18 пун­ктов обви­нения, а имен­но в сго­воре с целью получе­ния и рас­простра­нения информа­ции, свя­зан­ной с наци­ональ­ной обо­роной США.

Де­ло в том, что в рам­ках сог­лашения пос­ле приз­нания вины Ассанжа при­гово­рили к 62 месяцам зак­лючения, которые он уже отбыл в бри­тан­ской тюрь­ме. Затем судья зафик­сировал догово­рен­ности меж­ду Ассанжем и Минис­терс­твом юсти­ции США, пос­ле это­го дело осно­вате­ля WikiLeaks было офи­циаль­но прек­ращено, и он нап­равил­ся домой в Авс­тра­лию.

От­метим, что остров Сай­пан был выб­ран влас­тями «с уче­том несог­ласия обви­няемо­го ехать в кон­тинен­таль­ную часть США для приз­нания сво­ей вины и бли­зос­ти это­го федераль­ного окружно­го суда США к стра­не граж­данс­тва обви­няемо­го, Авс­тра­лии, куда, как мы ожи­даем, он вер­нется по окон­чании про­цес­са», — говорит­ся в пись­ме Отде­ла наци­ональ­ной безопас­ности Минис­терс­тва юсти­ции США от 24 июня текуще­го года.

«Это резуль­тат гло­баль­ной кам­пании, в которой при­нима­ла учас­тие общес­твен­ность, бор­цы за сво­боду прес­сы, законо­дате­ли и лидеры раз­ных полити­чес­ких кру­гов, вплоть до Орга­низа­ции Объ­еди­нен­ных Наций. Все это соз­дало усло­вия для про­веде­ния дли­тель­ных перего­воров с Минис­терс­твом юсти­ции США, которые при­вели к зак­лючению сдел­ки, пока еще офи­циаль­но не завер­шенной. Мы пре­дос­тавим допол­нитель­ную информа­цию в бли­жай­шее вре­мя.

Пос­ле более пяти лет, про­веден­ных в камере раз­мером два на три мет­ра, в усло­виях изо­ляции 23 часа в сут­ки, Ассанж ско­ро вос­соеди­нит­ся со сво­ей женой Стел­лой Ассанж и деть­ми, которые зна­ли сво­его отца толь­ко из‑за решет­ки.

WikiLeaks опуб­ликова­ла сен­саци­онные исто­рии о кор­рупции в пра­витель­стве и наруше­ниях прав челове­ка, зас­тавив пред­ста­вите­лей влас­ти отве­чать за свои дей­ствия. Будучи глав­ным редак­тором, Джу­лиан жес­токо поп­латил­ся за эти прин­ципы и за пра­во людей знать.

Те­перь, ког­да он воз­вра­щает­ся в Авс­тра­лию, мы бла­года­рим всех, кто под­держи­вал нас, борол­ся за нас и сох­ранял непоко­леби­мую пре­дан­ность в борь­бе за его сво­боду.

Сво­бода Джу­лиана — это наша сво­бода», — пишут пред­ста­вите­ли WikiLeaks.

На­пом­ним, что до зак­лючения в тюрь­му Бел­марш око­ло семи лет Ассанж про­жил в посоль­стве Эква­дора в Лон­доне, где ему пре­дос­тавили убе­жище, что­бы он мог избе­жать экс­тра­диции в Шве­цию. В Шве­ции про­тив него были выд­винуты обви­нения в изна­сило­вании, которые он отри­цал и которые, как он опа­сал­ся, в ито­ге будут исполь­зованы для его экс­тра­диции в США.

В 2019 году влас­ти Эква­дора лишили Ассанжа убе­жища в посоль­стве, анну­лиро­вали получен­ное им эква­дор­ское граж­данс­тво и переда­ли бри­тан­ской полиции, пос­ле чего он ока­зал­ся в тюрь­ме стро­гого режима, отку­да мно­го лет про­тивос­тоял попыт­кам экс­тра­диции со сто­роны США, где ему гро­зило до 175 лет тюрем­ного зак­лючения. Поз­же в том же году Шве­ция прек­ратила рас­сле­дова­ние в отно­шении Ассанжа.

Как теперь сооб­щает Минис­терс­тво юсти­ции США, пос­ле вынесе­ния при­гово­ра и осуж­дения Ассанжу «зап­рещено воз­вра­щать­ся в Соеди­нен­ные Шта­ты без раз­решения».

45% паролей ломаются за минуту

  • Эк­спер­ты «Лабора­тории Кас­пер­ско­го» про­ана­лизи­рова­ли 193 мил­лиона паролей, обна­ружен­ных в пуб­личном дос­тупе в дар­кне­те. Выяс­нилось, что поч­ти полови­ну из них (45%, или 87 мил­лионов) хакеры смо­гут взло­мать менее чем за минуту.
  • Ху­же того, ока­залось, что боль­шинс­тво про­ана­лизи­рован­ных паролей (57%) содер­жат сло­вар­ное сло­во, что зна­читель­но сни­жает их устой­чивость к взло­му.
  • При исполь­зовании наибо­лее эффектив­ного брут­форс‑алго­рит­ма толь­ко 23% (44 мил­лиона) пароль­ных ком­бинаций ока­зались дос­таточ­но стой­кими: на их взлом у зло­умыш­ленни­ков ушло бы боль­ше года.
 

Windows Recall отложили

Ком­пания Microsoft отло­жила запуск ИИ‑фун­кции Windows Recall, что­бы более тща­тель­но про­тес­тировать ее перед выходом в виде пуб­личной пред­варитель­ной вер­сии на компь­юте­рах Copilot+.

На­пом­ним, что Recall пред­ста­вили в мае 2024 года. Фун­кция приз­вана помочь «вспом­нить» любую информа­цию, которую поль­зователь прос­матри­вал в прош­лом, сде­лав ее дос­тупной с помощью прос­того поис­ка. Так, Recall, которую пла­ниро­вали вклю­чить по умол­чанию на всех новых ПК Copilot+, дела­ет сни­мок активно­го окна на экра­не каж­дые нес­коль­ко секунд, записы­вая все, что про­исхо­дит в Windows, будь то прос­мотр сай­тов в бра­узе­ре, обще­ние в мес­сен­дже­ре или работа с дру­гими при­ложе­ниями.

По­лучен­ные сним­ки обра­баты­вают­ся ней­рон­ным про­цес­сором (Neural Processing Unit, NPU) устрой­ства и ИИ‑моделью для извле­чения дан­ных со скрин­шотов. Затем информа­ция сох­раня­ется в SQLite, и поль­зовате­ли Windows могут искать по исто­рии с помощью зап­росов на род­ном язы­ке.

Ис­ходно релиз Recall в фор­мате public preview был зап­ланиро­ван на 18 июня 2024 года, одновре­мен­но со стар­том про­даж пер­вых ПК Copilot+, но теперь ком­пания заяви­ла, что откла­дыва­ет запуск. Ожи­дает­ся, что «в бли­жай­шие недели» фун­кция ста­нет дос­тупна толь­ко огра­ничен­ному чис­лу людей, в рам­ках прог­раммы Windows Insider.

«Пос­ле получе­ния отзы­вов о Recall от нашего сооб­щес­тва Windows Insider мы, как обыч­но, пла­ниру­ем сде­лать Recall (preview) дос­тупной для всех ПК Copilot+», — сооб­щили в ком­пании.

Сог­ласно обновлен­ному сооб­щению в бло­ге Microsoft, запуск Recall отло­жили, что­бы при­вес­ти фун­кцию в соот­ветс­твие с «высоки­ми стан­дарта­ми» ком­пании в области качес­тва и безопас­ности.

«Это решение осно­вано на нашем стрем­лении обес­печить надеж­ный и безопас­ный опыт для всех кли­ентов и получить допол­нитель­ные отзы­вы, преж­де чем сде­лать эту фун­кцию дос­тупной для всех поль­зовате­лей ПК Copilot+», — добави­ли в Microsoft.

Мы уже рас­ска­зыва­ли о том, что Recall под­вер­глась жес­ткой кри­тике как со сто­роны ИБ‑экспер­тов, так и со сто­роны защит­ников кон­фиден­циаль­нос­ти. Спе­циалис­ты срав­нивали фун­кцию с кей­лог­гером, добав­ленным в Windows, и уже демонс­три­рова­ли, как исполь­зовать ее для кра­жи дан­ных.

В ответ на эту кри­тику Microsoft сооб­щила, что обес­печит допол­нитель­ную безопас­ность Recall, сде­лав фун­кцию опци­ональ­ной и зашиф­ровав БД, что­бы та была недос­тупна, пока поль­зователь не прой­дет аутен­тифика­цию с помощью Windows Hello.

По­ка неяс­но, какие допол­нитель­ные защит­ные меры Microsoft намере­вает­ся встро­ить в Recall и ког­да фун­кция будет дос­тупна обыч­ным поль­зовате­лям.

Безопасность малого и среднего бизнеса

  • Спе­циалис­ты «Лабора­тории Кас­пер­ско­го» изу­чили кибер­защиту мик­ро-, малых и сред­них пред­при­ятий.
  • В сек­торе малого и сред­него биз­неса с 1 янва­ря по 30 апре­ля 2024 года выяв­лено 138 046 зараже­ний. По срав­нению со 131 219 слу­чаями за тот же пери­од 2023 года рост сос­тавил более 5%.
  • Са­мой рас­простра­нен­ной угро­зой оста­ются ата­ки тро­янов, осо­бен­но замас­кирован­ных под легитим­ные при­ложе­ния.
Основные типы угроз, затрагивающих сектор малого и среднего бизнеса
Ос­новные типы угроз, зат­рагива­ющих сек­тор малого и сред­него биз­неса
  • Ча­ще все­го мал­варь ата­кующих ими­тиро­вала сле­дующие при­ложе­ния: Microsoft Excel, Microsoft Word, Microsoft PowerPoint и Salesforce (в мире), Microsoft Outlook, Microsoft PowerPoint и Salesforce (в Рос­сии).
Процент уникальных файлов с именами, имитирующими девять самых популярных легитимных приложений
Про­цент уни­каль­ных фай­лов с име­нами, ими­тиру­ющи­ми девять самых популяр­ных легитим­ных при­ложе­ний
  • Так­же серь­езной проб­лемой для малого и сред­него биз­неса оста­ется фи­шинг, который чаще все­го рас­простра­няет­ся через элек­трон­ные пись­ма и со­циаль­ные сети.
 

Утекли исходники Apple

Ха­кер под ником IntelBroker заявил на BreachForums, что похитил у ком­пании Apple исходный код нес­коль­ких внут­ренних инс­тру­мен­тов.

Сог­ласно опуб­ликован­ному зло­умыш­ленни­ком сооб­щению, «в июне 2024 года у Apple.com про­изош­ла утеч­ка дан­ных» (к которой хакер, веро­ятно, при­час­тен), что и при­вело к рас­кры­тию информа­ции. IntelBroker утвер­жда­ет, что в резуль­тате он заполу­чил исходный код для сле­дующих внут­ренних инс­тру­мен­тов ком­пании: AppleConnect-SSO, Apple-HWE-Confluence-Advanced и AppleMacroPlugin.

Об инс­тру­мен­тах Apple-HWE-Confluence-Advanced и AppleMacroPlugin извес­тно мало. Зато AppleConnect-SSO — это сис­тема аутен­тифика­ции, которая поз­воля­ет сот­рудни­кам получать дос­туп к опре­делен­ным при­ложе­ниям в сети Apple. Эта сис­тема интегри­рова­на с базой дан­ных Directory Services, что обес­печива­ет безопас­ный дос­туп к внут­ренним ресур­сам.

Так, iOS-при­ложе­ния, пред­назна­чен­ные толь­ко для сот­рудни­ков, исполь­зуют AppleConnect-SSO для быс­трой и безопас­ной аутен­тифика­ции. AppleConnect слу­жит для сот­рудни­ков экви­вален­том Apple ID и исполь­зует­ся для дос­тупа ко всем внут­ренним сис­темам, за исклю­чени­ем элек­трон­ной поч­ты. Инс­тру­мент интегри­рован во мно­жес­тво внут­ренних сер­висов, исполь­зуемых сот­рудни­ками Apple Store, вклю­чая Concierge, EasyPay и MobileGenius, а так­же сай­ты AppleWeb и PeopleWeb.

Та­ким обра­зом, пред­полага­емая утеч­ка явно локали­зова­на внут­ри ком­пании и вряд ли зат­рагива­ет дан­ные кли­ентов Apple.

В сво­ем сооб­щении IntelBroker не рас­кры­вает никакой допол­нитель­ной информа­ции. Судя по все­му, он намерен про­дать пред­положи­тель­но укра­ден­ные у ком­пании дан­ные.

На­пом­ним, что в пос­леднее вре­мя IntelBroker регуляр­но сли­вает дан­ные, похищен­ные у целого ряда пра­витель­ствен­ных учрежде­ний США, вклю­чая Гос­деп, Минис­терс­тво обо­роны и армии США, а так­же Иммигра­цион­ную и таможен­ную полицию (ICE) и Служ­бу граж­данс­тва и иммигра­ции США (USCIS).

Кро­ме того, ранее IntelBroker свя­зыва­ли с дру­гими гром­кими инци­ден­тами, вклю­чая утеч­ку дан­ных, зат­ронув­шую чле­нов и сот­рудни­ков палаты пред­ста­вите­лей США (ниж­няя палата кон­грес­са США), взлом Hewlett Packard Enterprise (HPE), утеч­ку дан­ных General Electric, утеч­ку дан­ных раз­ведыва­тель­ного аль­янса Five Eye и так далее.

В прош­лом месяце имен­но IntelBroker за­явил о взло­ме пор­тала Europol Platform for Experts (EPE), утвер­ждая, что похитил у Евро­пола докумен­ты под гри­фом «Толь­ко для слу­жеб­ного поль­зования», а так­же докумен­ты, содер­жащие сек­ретные дан­ные. Вско­ре пос­ле это­го хакер­ский форум BreachForums, на котором дан­ные были выс­тавле­ны на про­дажу, уже во вто­рой раз по­пыта­лись зак­рыть пра­воох­раните­ли, одна­ко вско­ре сайт во­зоб­новил работу.

30 инженеров Telegram

Пос­ле интервью, которое Павел Дуров дал Такеру Кар­лсо­ну, экспер­ты рас­кри­тико­вали Дурова, заявив­шего, что он — единс­твен­ный вла­делец, дирек­тор и менед­жер по про­дук­ту в ком­пании, а в целом штат мес­сен­дже­ра сос­тавля­ет все­го «око­ло 30 инже­неров».

Спе­циалис­ты, вклю­чая извес­тно­го крип­тогра­фа и про­фес­сора уни­вер­ситета Джон­са Хоп­кинса Мэттью Гри­на (Matthew Green), а так­же гла­ву по кибер­безопас­ности Electronic Frontier Foundation Еву Галь­перин (Eva Galperin), говори­ли, что их нас­торажи­вает отсутс­твие сквоз­ного шиф­рования в Telegram по умол­чанию, малый штат сот­рудни­ков, а так­же «сер­веры, которые рас­положе­ны в ОАЭ».

«Telegram отли­чает­ся от дру­гих (и это нам­ного хуже!) тем, что Telegram — не прос­то при­ложе­ние для обме­на сооб­щени­ями, это еще и соци­аль­ная меди­аплатфор­ма. Как соци­аль­ная меди­аплатфор­ма, он хра­нит огромное количес­тво поль­зователь­ских дан­ных. Более того, он хра­нит содер­жимое всех сооб­щений, которые не отно­сят­ся к сооб­щени­ям „один на один“ и не были спе­циаль­но (end-to-end) зашиф­рованы. А „трид­цать инже­неров“ озна­чает, что некому бороть­ся с юри­дичес­кими зап­росами, нет инфраструк­туры для решения проб­лем со зло­упот­ребле­ниями и модера­цией кон­тента», — заяви­ла Галь­перин изда­нию TechCrunch.

Пред­ста­вите­ли Telegram отве­тили на эту кри­тику и пояс­нили изда­нию «Код Дурова», что сло­ва гла­вы ком­пании были истолко­ваны не сов­сем пра­виль­но.

«Во‑пер­вых, в матери­але изда­ния (TechCrunch) была допуще­на откро­вен­ная ошиб­ка: у Telegram нет никаких сер­веров в ОАЭ. Пред­ста­витель мес­сен­дже­ра под­чер­кнул, что никакие дан­ные поль­зовате­лей там не хра­нят­ся.

Во‑вто­рых, матери­ал TechCrunch во мно­гом осно­ван на непони­мании того, что имел в виду Павел Дуров, рас­ска­зывая про сот­рудни­ков в интервью Кар­лсо­ну Такеру.

В‑треть­их, на самом деле за раз­работ­ку и инфраструк­туру отве­чают 30 человек, но основная коман­да при этом сос­тоит при­мер­но из 60 человек. Помимо этих 60 чле­нов основной коман­ды, в Telegram есть отдель­ные коман­ды по модера­ции и борь­бе со зло­упот­ребле­ниями», — заяви­ли в ком­пании и пояс­нили, что коман­да неболь­шая намерен­но, но вклю­чает в себя экспер­тов в раз­личных областях, что помога­ет быс­трее реаги­ровать на ситу­ации, чем в ком­пани­ях с боль­шими коман­дами.

 

Пауки в Vision Pro

Раз­работ­чики Apple клас­сифици­рова­ли недав­но исправ­ленную уяз­вимость в Vision Pro как проб­лему отка­за в обслу­жива­нии (DoS), одна­ко иссле­дова­тель, обна­ружив­ший эту ошиб­ку, про­демонс­три­ровал, что на самом деле это более инте­рес­ный баг.

Не­дав­но Apple выпус­тила visionOS 1.2, обно­вив опе­раци­онную сис­тему сво­ей VR-гар­нитуры Vision Pro. Патч устра­нил сра­зу нес­коль­ко уяз­вимос­тей, но одна из них выделя­ется тем, что это один из пер­вых багов, который отно­сит­ся имен­но к это­му про­дук­ту, а так­же «пер­вый в исто­рии хак в области прос­транс­твен­ных вычис­лений», как заяв­ляет иссле­дова­тель.

Проб­лема, получив­шая иден­тифика­тор CVE-2024-27812, свя­зана с обра­бот­кой спе­циаль­но соз­данно­го веб‑кон­тента. По информа­ции Apple, она может при­вес­ти к отка­зу в обслу­жива­нии. Одна­ко обна­ружив­ший этот баг ИБ‑спе­циалист Рай­ан Пик­рен (Ryan Pickren) про­демонс­три­ровал, что речь идет не прос­то о DoS-проб­леме.

Vision Pro спро­екти­рова­на таким обра­зом, что­бы пре­дот­вра­щать запуск неав­торизо­ван­ных при­ложе­ний и про­ник­новение в лич­ное прос­транс­тво поль­зовате­ля.

«По умол­чанию натив­ные при­ложе­ния огра­ниче­ны кон­тек­стом Shared Space, где они ведут себя пред­ска­зуемо и их мож­но лег­ко зак­рыть, — рас­ска­зыва­ет эксперт. — Если при­ложе­ние хочет пред­ложить более иммерсив­ный опыт, оно дол­жно получить явное раз­решение от поль­зовате­ля через под­сказ­ку на уров­не ОС, что переве­дет при­ложе­ние в доверен­ный кон­текст Full Space».

Кро­ме того, сай­ты, которые поль­зователь посеща­ет в Safari с помощью Vision Pro, могут вос­про­изво­дить 3D-объ­екты в ком­нате лишь в том слу­чае, если поль­зователь вруч­ную даст на это явное одоб­рение.

Од­нако Пик­рен обна­ружил, что Apple не при­меня­ет тот же уро­вень защиты к ARKit Quick Look — фун­кции iOS, соз­данной нес­коль­ко лет назад. Ока­залось, что эта фун­кция по‑преж­нему при­сутс­тву­ет в WebKit и не тре­бует никаких раз­решений в Safari.

Ис­сле­дова­тель показал, что зло­умыш­ленник может исполь­зовать эту фун­кцию для соз­дания 3D-объ­ектов любого типа, вклю­чая ани­миро­ван­ные и со зву­ковы­ми эффекта­ми. Для это­го дос­таточ­но вынудить поль­зовате­ля посетить вре­донос­ный сайт.

В качес­тве proof-of-concept ата­ки Пик­рен про­демонс­три­ровал, как ком­ната поль­зовате­ля может напол­нить­ся сот­нями вир­туаль­ных пауков и гром­ко кри­чащих летучих мышей.

«Самое жут­кое зак­люча­ется в том, что эти ани­миро­ван­ные фай­лы обра­баты­вают­ся отдель­ным при­ложе­нием (Quick Look), поэто­му зак­рытие Safari не изба­вит от них, — объ­ясня­ет иссле­дова­тель. — А пос­коль­ку в visionOS нет Dock или какого‑либо дру­гого Open Apps UI, нет оче­вид­ного спо­соба изба­вить­ся от них, толь­ко бегать по ком­нате, что­бы физичес­ки кос­нуть­ся каж­дого».

Эк­сперт зак­люча­ет, что был удив­лен тем, что Apple клас­сифици­рова­ла эту проб­лему как DoS. По его сло­вам, ком­пания вып­латила ему воз­награж­дение за его наход­ку, одна­ко точ­ная сум­ма не раз­гла­шает­ся.

210 миллиардов рублей ущерба от ИТ-преступлений

  • Сог­ласно ста­тис­тике МВД РФ, которую озву­чил министр Вла­димир Колоколь­цев, толь­ко в прош­лом году от прес­тупле­ний с исполь­зовани­ем ИТ пос­тра­дало более 500 тысяч человек и чет­верть из них — пен­сионе­ры. В 2024 году количес­тво пос­тра­дав­ших уже приб­лижа­ется к 40 тысячам.
  • Сум­марный ущерб от таких прес­тупле­ний за весь 2023 год и четыре месяца 2024 года сос­тавил более 210 мил­лиар­дов руб­лей.
  • С 2020 года количес­тво кибер­прес­тупле­ний воз­росло на треть, и теперь их доля в общем объ­еме приб­лизилась к 40%.
 

Реклама на YouTube

Раз­работ­чики YouTube экспе­римен­тиру­ют со встра­ива­нием рек­ламы непос­редс­твен­но в виде­опо­ток, что­бы бло­киров­щикам рек­ламы было слож­нее от нее изба­вить­ся.

Пер­выми новов­ведение замети­ли соз­датели опен­сор­сно­го бра­узер­ного рас­ширения SponsorBlock, которое собира­ет информа­цию о том, какие фраг­менты видео содер­жат спон­сор­ский кон­тент, что­бы про­пус­тить их.

Ав­торы SponsorBlock пре­дуп­редили, что внед­рение рек­ламы на сто­роне сер­вера наруша­ет работу рас­ширения, и уже ведет­ся работа над решени­ем этой проб­лемы. Кро­ме того, встра­ива­ние рек­ламы в виде­опо­ток ска­зыва­ется на эффектив­ности дру­гих бло­киров­щиков, которые люди исполь­зуют на YouTube.

Де­ло в том, что сей­час YouTube внед­ряет рек­ламу на сто­роне кли­ента: JavaScript-скрип­ты и виде­опле­ер на устрой­стве поль­зовате­ля под­гру­жают и показы­вают рек­ламу. То есть виде­опо­ток и рек­лама раз­делены, а пле­ер зап­рограм­мирован на при­оста­нов­ку кон­тента и вос­про­изве­дение рек­ламы в задан­ных точ­ках.

Боль­шинс­тво бло­киров­щиков отклю­чают рек­ламу на YouTube, бло­кируя JavaScript, исполь­зуемый для внед­рения рек­ламы в виде­опо­ток. SponsorBlock работа­ет нем­ного ина­че: с помощью кра­удсорсин­га он собира­ет информа­цию о раз­личных сег­ментах видео и поз­воля­ет поль­зовате­лям про­пус­кать спон­сор­ские интегра­ции.

Внед­рение рек­ламы на сто­роне сер­вера поз­воля­ет встро­ить ее непос­редс­твен­но в виде­опо­ток, то есть еще до того, как кон­тент будет дос­тавлен зри­телю. В ито­ге поль­зовате­ли получа­ют неп­рерыв­ный поток, в который уже интегри­рова­на рек­лама.

В SponsorBlock объ­ясня­ют, что YouTube тран­сли­рует видео с помощью серии неболь­ших фраг­ментов, которые «сши­вают­ся» вмес­те для соз­дания неп­рерыв­ного потока. Порядок вос­про­изве­дения этих фраг­ментов опре­деля­ется фай­лом манифес­та, и, ког­да поль­зователь откры­вает видео, сер­вер YouTube переда­ет ему плей­лист, в который вклю­чены как кон­тент, так и рек­ламные фраг­менты.

Та­кой под­ход усложня­ет работу SponsorBlock, пос­коль­ку сме­щает вре­мен­ные мет­ки для спон­сор­ско­го кон­тента, а в зависи­мос­ти от про­дол­житель­нос­ти рек­ламы это сме­щение меня­ется. Кро­ме того, это соз­дает труд­ности для работы дру­гих бло­киров­щиков: они хуже рас­позна­ют рек­ламу, которая явля­ется частью самого ролика (в отли­чие от лег­ко обна­ружи­ваемых инъ­екций на сто­роне кли­ента).

По­ка раз­работ­чики SponsorBlock вынуж­дены бло­киро­вать сооб­щения от бра­узе­ров, где про­исхо­дит внед­рение рек­ламы на сто­роне сер­вера, что­бы пре­дот­вра­тить пов­режде­ние дан­ных. Одна­ко, если YouTube перей­дет к внед­рению рек­ламы на сто­роне сер­вера в боль­шем мас­шта­бе, такой под­ход ста­нет неэф­фектив­ным.

Пред­полага­ется, что в будущем инс­тру­мент, веро­ятно, смо­жет вычис­лять про­дол­житель­ность рек­ламы по метадан­ным и эле­мен­там поль­зователь­ско­го интерфей­са YouTube, но пока сис­тема к это­му не готова.

Что каса­ется раз­работ­чиков дру­гих бло­киров­щиков, со вре­менем они могут соз­дать более слож­ные алго­рит­мы обна­руже­ния, исполь­зовать ана­лиз метадан­ных и углублен­ное рас­позна­вание обра­зов для опре­деле­ния рез­ких изме­нений в аудио и видео, которые могут сви­детель­ство­вать о вклю­чении рек­ламы.

Пред­ста­вите­ли Google про­ком­менти­рова­ли ситу­ацию сле­дующим обра­зом:

«YouTube работа­ет над повыше­нием про­изво­дитель­нос­ти и надеж­ности как орга­ничес­кого, так и рек­ламно­го виде­окон­тента. Это обновле­ние может при­водить к воз­никно­вению неоп­тималь­ных впе­чат­лений от прос­мотра у поль­зовате­лей бло­киров­щиков рек­ламы.

Бло­киров­щики рек­ламы наруша­ют Terms of Service YouTube, и мы уже дав­но при­зыва­ем поль­зовате­лей под­держи­вать любимых авто­ров, раз­решая рек­ламу на YouTube, или поп­робовать YouTube Premium для работы без рек­ламы».

Сто­ит ска­зать, что прак­тичес­ки ана­логич­ный туман­ный ком­мента­рий в ком­пании давали жур­налис­там в кон­це мая 2024 года, ког­да поль­зовате­ли бло­киров­щиков обна­ружи­ли, что теперь в некото­рых слу­чаях видео на YouTube авто­мати­чес­ки перема­тыва­ются в конец или в роликах отклю­чает­ся звук, что дела­ет прос­мотр видео невоз­можным.

Отчет о прозрачности «Яндекса»

  • Ком­пания «Яндекс» опуб­ликова­ла отчет о проз­рачнос­ти за вто­рую полови­ну 2023 года.
  • С июля по декабрь 2023 года по тре­бова­нию Рос­комнад­зора из поис­ка было уда­лено 193 927 ссы­лок (на 3402 ссыл­ки боль­ше, чем в пер­вой полови­не 2023 года), а так­же получе­но 36 305 зап­росов на рас­кры­тие дан­ных о поль­зовате­лях.
  • Боль­ше все­го зап­росов на рас­кры­тие дан­ных поль­зовате­лей (22 918) приш­лось на «Рай­дтех», в который вхо­дят сер­висы так­си, самока­тов, дос­тавки и «Драйв». Про­цент отка­зов сос­тавил 16% (3652 слу­чая). Далее идут «Яндекс Поч­та» (6115 зап­росов и 859 отка­зов) и «Фуд­тех» («Еда», «Лав­ка», «Деливе­ри»; 4556 зап­росов и 1294 отка­за).
  • Так­же к «Яндексу» обра­щались по закону «о пра­ве на заб­вение», который обя­зыва­ет поис­ковые сис­темы уда­лять из резуль­татов поис­ка ссыл­ки на незакон­ную, недос­товер­ную или неак­туаль­ную информа­цию о заяви­теле. Все­го таких зап­росов наб­ралось 11 598 за пол­года.
 

IDE IntelliJ сливает токены GitHub

JetBrains пре­дуп­редила кли­ентов об исправ­лении кри­тичес­кой уяз­вимос­ти, которая зат­ронула поль­зовате­лей IDE IntelliJ и поз­воляла получить дос­туп к токенам GitHub.

Уяз­вимость отсле­жива­ется под иден­тифика­тором CVE-2024-37051 и зат­рагива­ет все IDE на базе IntelliJ, начиная с вер­сии 2023.1, в которых вклю­чен, нас­тро­ен или исполь­зует­ся пла­гин JetBrains GitHub.

«29 мая 2024 года мы получи­ли сооб­щение о воз­можной уяз­вимос­ти, которая спо­соб­на вли­ять на pull request’ы в IDE, — рас­ска­зал Илья Плес­кунин, руково­дитель груп­пы под­дер­жки безопас­ности в JetBrains. — Так, вре­донос­ный кон­тент, содер­жащий­ся в пул‑рек­весте для GitHub и обра­баты­ваемый IDE на базе IntelliJ, может при­вес­ти к переда­че токенов дос­тупа на сто­рон­ний хост».

JetBrains уже выпус­тила пат­чи, устра­нив­шие кри­тичес­кую проб­лему в вер­сии 2023.1 или более поз­дних. Так­же ком­пания испра­вила уяз­вимый пла­гин JetBrains GitHub и уда­лила все ранее зат­ронутые вер­сии из сво­его офи­циаль­ного мар­кет­плей­са пла­гинов.

Пол­ный спи­сок исправ­ленных вер­сий вклю­чает:

  • Aqua: 2024.1.2;
  • CLion: 2023.1.7, 2023.2.4, 2023.3.5, 2024.1.3, 2024.2 EAP2;
  • DataGrip: 2024.1.4;
  • DataSpell: 2023.1.6, 2023.2.7, 2023.3.6, 2024.1.2;
  • GoLand: 2023.1.6, 2023.2.7, 2023.3.7, 2024.1.3, 2024.2 EAP3;
  • IntelliJ IDEA: 2023.1.7, 2023.2.7, 2023.3.7, 2024.1.3, 2024.2 EAP3;
  • MPS: 2023.2.1, 2023.3.1, 2024.1 EAP2;
  • PhpStorm: 2023.1.6, 2023.2.6, 2023.3.7, 2024.1.3, 2024.2 EAP3;
  • PyCharm: 2023.1.6, 2023.2.7, 2023.3.6, 2024.1.3, 2024.2 EAP2;
  • Rider: 2023.1.7, 2023.2.5, 2023.3.6, 2024.1.3;
  • RubyMine: 2023.1.7, 2023.2.7, 2023.3.7, 2024.1.3, 2024.2 EAP4;
  • RustRover: 2024.1.1;
  • WebStorm: 2023.1.6, 2023.2.7, 2023.3.7, 2024.1.4.

Ад­минис­тра­торам рекомен­дует­ся как мож­но ско­рее уста­новить пат­чи и отоз­вать токены GitHub. Так­же ком­пания нас­тоятель­но совету­ет кли­ентам, активно исполь­зующим фун­кци­ональ­ность пул‑рек­вестов GitHub в IntelliJ IDE, отоз­вать все токены GitHub, исполь­зуемые уяз­вимым пла­гином, пос­коль­ку они могут пре­дос­тавить потен­циаль­ным зло­умыш­ленни­кам дос­туп к свя­зан­ным акка­унтам на GitHub (даже если вклю­чена допол­нитель­ная защита в виде двух­фактор­ной аутен­тифика­ции).

Кро­ме того, если пла­гин исполь­зовал­ся с интегра­цией OAuth или Personal Access Token (PAT), сле­дует отоз­вать дос­туп JetBrains IDE Integration и уда­лить токен пла­гина интегра­ции IntelliJ IDEA с GitHub. Под­черки­вает­ся, что пос­ле отзы­ва токена при­дет­ся заново нас­тро­ить пла­гин, так как все его фун­кции (вклю­чая опе­рации с Git) перес­танут работать.

По­мимо это­го, JetBrains свя­залась с раз­работ­чиками GitHub, что­бы помочь миними­зиро­вать пос­ледс­твия уяз­вимос­ти. Поэто­му, в свя­зи с при­няты­ми мерами, пла­гин JetBrains GitHub может работать некор­рек­тно в ста­рых вер­сиях IDE JetBrains.

Apple не заплатила «Лаборатории Касперского»

Ле­том 2023 года ФСБ и ФСО Рос­сии пре­дуп­редили о «раз­ведыва­тель­ной акции аме­рикан­ских спец­служб, про­веден­ной с исполь­зовани­ем мобиль­ных устрой­ств фир­мы Apple». Вско­ре пос­ле это­го «Лабора­тория Кас­пер­ско­го» опуб­ликова­ла раз­верну­тый отчет о целевых ата­ках, нап­равлен­ных на устрой­ства, работа­ющие под управле­нием iOS, а так­же сооб­щила о нес­коль­ких исполь­зован­ных в этой кам­пании уяз­вимос­тях.

В ито­ге эти шпи­онские ата­ки получи­ли наз­вание «Опе­рация „Три­ангу­ляция“», и спе­циалис­ты писали, что это «самая изощ­ренная цепоч­ка атак» из всех, что они ког­да‑либо видели.

Как выяс­нилось теперь, ком­пания Apple так и не вып­латила «Лабора­тории Кас­пер­ско­го» при­чита­ющиеся bug bounty. При­чем воз­награж­дение за обна­руже­ние такого рода багов может сос­тавлять до мил­лиона дол­ларов США.

«Мы наш­ли zero-day-, zero-click-уяз­вимос­ти, переда­ли всю информа­цию Apple, сде­лали полез­ное дело. По сути сво­ей, мы зарепор­тили им уяз­вимость, за которую они дол­жны зап­латить bug bounty. Нам это воз­награж­дение не нуж­но, но есть прак­тика такие вып­латы от боль­ших ком­паний переда­вать на бла­гот­воритель­ность. Apple отка­зала нам в вып­лате, даже в поль­зу бла­гот­воритель­ной орга­низа­ции, сос­лавшись на внут­реннюю полити­ку, без объ­ясне­ния. Учи­тывая, сколь­ко информа­ции мы им пре­дос­тавили и нас­коль­ко про­активно это сде­лали, — непонят­но, почему они при­няли такое решение.

Пос­ле обна­руже­ния шпи­онско­го модуля в iPhone сот­рудни­ков ком­пании в прош­лом году мы ушли с iOS. Всем сот­рудни­кам ком­пании сей­час пла­ново, поэтап­но выда­ют кор­поратив­ные мобиль­ные устрой­ства на Android. Мы ушли с iOS не потому, что она менее безопас­на, а потому, что нам, как security-вен­дору, хочет­ся иметь в сво­их руках боль­ше кон­тро­ля над безопас­ностью устрой­ств. На iOS мы не можем пос­тавить пол­ноцен­ный про­дукт, который будет ска­ниро­вать активность, фай­лы, пре­дос­тавлять информа­цию, необ­ходимую для incident response. Android к тому же пре­дос­тавля­ет боль­ший фун­кци­онал для MDM. В общем, если какая‑то кибера­така на сот­рудни­ков сно­ва про­изой­дет, то раз­бирать­ся с ней на iOS будет слож­но, как показа­ла прак­тика», — рас­ска­зал жур­налис­там RTVI Дмит­рий Галов, руково­дитель рос­сий­ско­го иссле­дова­тель­ско­го цен­тра «Лабора­тории Кас­пер­ско­го».

 

Атака через polyfill

Вок­руг сер­виса polyfill(.)io раз­вернул­ся гром­кий скан­дал, свя­зан­ный с ата­кой на цепоч­ку пос­тавок.

Тер­мином polyfill («полифил») обоз­нача­ют код, реали­зующий какую‑либо фун­кци­ональ­ность, которая под­держи­вает­ся не во всех вер­сиях бра­узе­ров. Нап­ример, полифил может добав­лять JavaScript-фун­кци­ональ­ность, которая недос­тупна для ста­рых бра­узе­ров, но уже при­сутс­тву­ет в сов­ремен­ных.

Polyfill(.)io исполь­зует­ся мно­жес­твом сай­тов, что­бы все их посети­тели мог­ли поль­зовать­ся одной и той же кодовой базой, даже если их бра­узе­ры не под­держи­вают какие‑то сов­ремен­ные фун­кции.

В кон­це июня ста­ло извес­тно о мас­штаб­ной ата­ке на цепоч­ку пос­тавок, зат­ронув­шей не менее 100 тысяч сай­тов, исполь­зовав­ших cdn.polyfill(.)io.

Де­ло в том, что домен недав­но при­обре­ла китай­ская ком­пания Funnull, пос­ле чего иссле­дова­тели ком­пании Sansec обна­ружи­ли, что скрипт был модифи­циро­ван для перенап­равле­ния поль­зовате­лей на вре­донос­ные и мошен­ничес­кие сай­ты.

При этом раз­работ­чик ори­гиналь­ного про­екта Эндрю Беттс (Andrew Betts) еще в фев­рале пре­дуп­реждал о том, что он никог­да не был вла­дель­цем polyfill(.)io и не имел к нему отно­шения. Еще тог­да он рекомен­довал всем вла­дель­цам сай­тов немед­ленно изба­вить­ся от это­го кода.

Бо­лее того, Беттс, соз­давший опен­сор­сный про­ект polyfill еще в середи­не 2010-х годов, вооб­ще писал о том, что людям сле­дует прек­ратить исполь­зовать polyfill(.)io, так как в сов­ремен­ном мире в этом уже нет никакой нуж­ды.

Ког­да информа­ция об ата­ке начала рас­простра­нять­ся в СМИ, домен polyfill(.)io был зак­рыт регис­тра­тором Namecheap. Одна­ко новые вла­дель­цы сер­виса тут же возоб­новили его работу на новом домене (polyfill(.)com), заявив, что их окле­вета­ли и «никаких рис­ков для цепоч­ки пос­тавок нет». По сос­тоянию на 28 июня 2024 года новый домен тоже перес­тал отве­чать и, похоже, так­же был зак­рыт регис­тра­тором.

Бо­лее того, пос­ле пре­дания этой исто­рии огласке пред­ста­вите­ли ком­пании Cloudflare вырази­ли недоволь­ство тем, что polyfill(.)io неп­равомер­но исполь­зовал наз­вание и логотип Cloudflare.

Ком­пания заяви­ла, что нес­пособ­ность polyfill(.)io уда­лить «лож­ные заяв­ления» со сво­его сай­та (хотя пред­ста­вите­ли Cloudflare свя­зыва­лись с ком­пани­ей) слу­жит «еще одним пре­дуп­режда­ющим сиг­налом о том, что им нель­зя доверять».

Кро­ме того, в Cloudflare под­твер­дили выводы спе­циалис­тов Sansec и сооб­щили, что CDN polyfill(.)io исполь­зует­ся для перенап­равле­ния поль­зовате­лей, нап­ример, на сай­ты со став­ками на спорт и это дела­ется с помощью домен­ного име­ни google-anaiytics(.)com, которое умыш­ленно написа­но неп­равиль­но и ими­тиру­ет Google Analytics.

Со­учре­дитель и гла­ва Cloudflare Мэттью Принс (Matthew Prince) добавил, что око­ло 4% всех сай­тов в интерне­те (то есть десят­ки мил­лионов ресур­сов) исполь­зуют polyfill(.)io, и наз­вал воз­можные пос­ледс­твия от этой ата­ки «край­не тре­вож­ными».

В ответ на эти обви­нения новые вла­дель­цы сер­виса опуб­ликова­ли серию сооб­щений в соци­аль­ной сети X (быв­ший Twitter), где заяви­ли о сво­ей неп­ричас­тнос­ти к мас­штаб­ной ата­ке на цепоч­ку пос­тавок и обви­нили СМИ в кле­вете:

«Мы обна­ружи­ли в СМИ сооб­щения, кле­вещу­щие на Polyfill. Мы хотим пояс­нить, что все наши сер­висы кеширу­ются в Cloudflare и никако­го рис­ка для цепоч­ки пос­тавок нет», — пишут пред­ста­вите­ли сер­виса.

Од­нако ИБ‑иссле­дова­тели при­зыва­ют не верить заяв­лени­ям ком­пании. Так, изда­ние Bleeping Computer вы­ясни­ло, что эта мас­штаб­ная ата­ка была про­веде­на сра­зу через нес­коль­ко CDN (polyfill(.)io, BootCDN, Bootcss и Staticfile) и мог­ла зат­ронуть вов­се не 100 тысяч, а десят­ки мил­лионов сай­тов, при­чем за про­исхо­дящим сто­ит один опе­ратор.

Спе­циалис­ты ожи­дают, что эффект от этой ата­ки про­явит себя в бли­жай­шие недели, тог­да будет более понятен мас­штаб про­изо­шед­шего.

Мно­гие опа­сают­ся, что опе­рато­ры polyfill(.)io мог­ли заранее зарегис­три­ровать мно­жес­тво доменов у раз­ных регис­тра­торов (нап­ример, polyfill(.)cloud) и теперь могут начать раз­верты­вание этих доменов, услу­гами которых смо­гут по‑преж­нему вос­поль­зовать­ся люди, ничего не зна­ющие о про­исхо­дящем.

Всем, кто еще это­го не сде­лал, рекомен­дует­ся как мож­но ско­рее перей­ти на безопас­ные аль­тер­нативы, уже соз­данные спе­циалис­тами Cloudflare и Fastly.

Так­же в этом может помочь сайт Polykill.io, соз­данный ком­пани­ей Leak Signal. Этот сер­вис поз­воля­ет выяв­лять сай­ты, исполь­зующие polyfill(.)io, и пред­лага­ет информа­цию о перехо­де на аль­тер­натив­ные решения.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

    • Открыть комментарии
    Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии