Новости про безопасность

Обнаружен вирус-майнер для Linux

Антивирусная лаборатория Dr. Web сообщает о выявлении нового вируса для операционной системы Linux, который добывает криптовалюту и, потенциально, может воровать данные.

Зловред Linux.BtcMine.174 в первую очередь занимается майнингом Monero. Однако кроме этого вирус, длиной более 1000 строк кода, выключает сервисы, прячет файлы и может воровать пароли.

Различными путями он получает root-доступ, перемещает себя в папку с правами на запись, повышает свои привилегии с помощью эксплоита. Также он добавляет себя в автозапуск и устанавливает руткит.

Кибербезопасность
Кибербезопасность

Оказываясь в системе, он останавливает всё остальное ПО для майнинга, останавливает службы и удаляет необходимые файлы (включая антивирусы) и майнит Monero. Руткит позволяет воровать вводимые пользователем пароли под командой su, что позволяет ему атаковать по многим фронтам.

Также вирус ищет через SSH другие подключенные системы и затем пытается их заразить.

Вирус выявлен совсем недавно и пока не распространился.

Найден способ обхода аппаратного шифрования SSD

Исследователи из Университета Неймегена (Радбауд) в Нидерландах анонсировали уязвимость, которая касается некоторых твердотельных накопителей с аппаратными средствами безопасности.

Эта уязвимость позволяет злоумышленникам обойти аппаратное шифрование диска и получить доступ к данным.

Аппаратное шифрование в SSD реализовано с помощью специальных чипов. Исследователи Карло Мейер и Бернард Ван Гастель установили, что уязвимость кроется в прошивках. Они выяснили, что за шифрование отвечают две спецификации: ATA security и TCG Opal. В ходе расследования они выяснили, что расшифровать данные на диске можно не только с помощью пользовательского пароля, но и с помощью мастер пароля, который установили разработчики SSD. Как и в случае с роутерами, которые имеют учётную запись с завода, SSD также хранят такую запись в своей памяти, а значит, кто угодно, знающий заводской пароль, может получить доступ к данным.

Безопасность данных
Безопасность данных

Некоторые из исследованных накопителей имели неверную реализацию стандартов ATA security и TCG Opal. Эта неверная реализация означает, что пользовательский пароль не связан с ключом шифрования криптографически. «Отсутствие этой связи — катастрофично. На самом деле, защита пользовательских данных больше не связана секретом. Вся информация, требуемая для расшифровки данных, хранится на самом накопителе и может быть восстановлена», — отметили исследователи.

Также учёные отметили, что пока проверили ограниченное количество SSD, однако уязвимость срабатывала на всех. В объёме исследования были проверены модели Crucial MX100, Crucial MX200, Crucial MX300, Samsung 840 Evo, Samsung 850 Evo, Samsung T3 и Samsung T5.

Полмиллиона пользователей установили зловредное ПО из Google Play

Эксперт ESET в области безопасности Лукас Стефанко сообщил детали об инциденте массового инфицирования Android устройств через Google Play.

Эксперт обнаружил в Google Play 13 игровых приложений выпущенных одним и тем же разработчиком. Две из этих игр рекламировались самим Google Play, находясь в разделе «Топ платных». Это игры — автосимуляторы, однако они являются зловредами. По сумме инсталляций инфицированными оказались 580 тысяч устройств.

Вредоносные автосимуляторы из Google Play
Вредоносные автосимуляторы из Google Play

Загружавшие приложения надеялись погонять на грузовике или автомобиле, но по факту игра постоянно вылетала. В реальности игра загружала данные с другого домена, зарегистрированного на разработчика приложения в Стамбуле. Что делает зловред пока не выявлено. Ясно, что он загружается вместе с Android и имеет полный доступ к сетевому трафику, что позволяет автору воровать секретные данные.

Домен зарегистрирован на Мерта Озека, но на электронные письма он не отвечает. Представитель Google Скотт Вестовер подтвердил, что приложение нарушает правила Play Store. Компания Google достаточно часто подвергается критике за то, что допускает к публикации вредоносные приложения. Фирма создала специальный сервис для проверки злонамеренных действий, но, похоже, он не стал панацеей. Тем временем блог Лукаса продолжает полнится вредоносными приложениями из Google Play.

В Adobe Flash выявлена критическая уязвимость

Мы немного отвыкли от новостей об уязвимостях в Adobe Flash, просто потому, что Flash почти не обновляется и уже редко где применяется.

Тем не менее, Adobe выпустила новую версию плагина Flash Player 31.0.0.153. Эта новая версия исправляет критическую уязвимость, заключающуюся в исполнении стороннего кода. Обновление вышло горячим, после того, как ряд обновлений прошёл во вторник патчей. Уязвимость была крайне опасной, поскольку позволяла инсталляцию вредоносного ПО при простом просмотре веб страницы с файлом Flash.

Adobe Flash
Adobe Flash

Уязвимость за номером CVE-2018-15981 позволяла удалённо исполнять код на машине. Вредоносный код может размещаться во Flash .swf файле, на странице и скрытно устанавливать вредоносное приложение на любой уязвимой машине.

Если вы ещё не провели обновление, то вам крайне необходимо это сделать, или, что ещё лучше, отказаться от Flash вообще.

Firefox предупредит об утечке на сайте

Компания Mozilla последнее время активно работает над повышением приватности в своём браузере. Новая инициатива в браузере Firefox позволит узнать об утечках на сайте.

Теперь пользователи Firefox Quantum будут получать уведомление в том случае, если посещаемый сайт недавно допустил утечку данных. Всплывающее сообщение будет содержать отчёт о природе и объёме уязвимости с возможностью перехода на сервис Firefox Monitor для уточнения деталей. Изменения будут доступны пользователям браузера постепенно в ближайшие недели.

Firefox
Firefox

Используя Firefox Monitor пользователи смогут проверить, был ли их электронный адрес частью утечки данных, сверяясь по базе HIBP. Этот сервис, после запуска в сентябре, получил заметную популярность, на него уже подписались сотни тысяч пользователей. На фоне популярности сервис получил интерфейс с 26 новыми языками.

Пользователи получат лишь однократное уведомление об утечке данных на посещаемом сайте, чтобы не раздражать людей. Также функционал можно отключить во всплывающем окне. Уведомление будет отображаться только в случае, если утечка произошла менее 12 месяцев назад.

Sony планирует использовать блокчейн для DRM

Компания Sony решила применить универсальность технологии блокчейна для улучшения защиты инфраструктуры своего контента.

Множество игровых компаний уже экспериментируют с блокчейном. У EA есть исследовательские проекты в этом направлении, а Ubisoft использует блокчейн для монетизации игр. Однако в Sony решили использовать блокчейн иначе — для защиты контента. Формально компания анонсировала новую систему DRM.

Блокчейн
Блокчейн

Пока Sony хочет использовать блокчейн для защиты образовательных материалов, подготовленных подразделением Global Education, однако позднее техника может быть применена к другим платформам, включая PlayStation Store и PlayStation Network, которые приносят компании миллиардные доходы.

На самом деле эта новость не сильно удивляет, поскольку ещё в мае компания разместила патент на DRM защиту с использованием блокчейна.

Возможно, DRM окажет меньшее воздействие на систему, но при этом даст больше безопасности. Sony PlayStation Network известна своей низкой безопасностью, особенно это ясно по примеру её падения при DDoS атаках прошлой зимой. Также не исключён вариант использования новой системы защиты в разрабатываемой PlayStation 5.

Простая, но опасная уязвимость Windows не исправлена за целый год

Год назад исследователи в области безопасности открыли одну уязвимость в семействе операционных систем Windows, которая до сих пор не исправлена.

Первым уязвимость нашёл Себастиан Кастро из CSL. Эта техника направлена на один параметр в учётной записи пользователя Windows, известный как Relative Identifier (RID). Воспользовавшись уязвимостью, хакер может получить полный административный доступ к компьютеру.

Идентификатор RID — это код, добавляемый в конце идентификатора безопасности учётной записи (Security Identifier —SID), который описывает группу доступа пользователя. К примеру, для гостевой записи RID равен 501, а для администратора — 500.

Иконка системного реестра Windows
Иконка системного реестра Windows

Кастро установил, что изменение ключа в реестре, содержащего информацию об учётных записях, может модифицировать RID, и таким образом изменить уровень доступа определённого пользователя. Удалённо таких изменений провести нельзя, но если хакер доберётся до машины, он сможет изменить группу пользователя на администратора, а затем выполнить с машиной любое действие.

Кастро обратился к Microsoft, исправила ли она уязвимость, на что был получен отрицательный ответ. Атака работает на всех Windows начиная с XP и до 10, и от Server 2003 до Server 2016. Пока информации о том, что уязвимостью пользовались, нет.

Bloomberg снова заявил о шпионских микросхемах

Две недели назад разгорелся шпионский скандал. Аналитическое агентство Bloomberg заявило о том, что в серверах от Supermicro содержатся некие шпионящие чипы.

Сама компания и её крупнейшие клиенты, среди которых Apple и Amazon, встали на защиту Supermicro. Но теперь Bloomberg вновь обвиняет производителя серверов.

На сей раз говорится об «имплантатах» в коннекторах Ethernet серверов Supermicro, которые были выявлены при инспекции своих ЦОД телекоммуникационными компаниями США. В отчёте говорится, что манипулирующая аппаратная часть была выявлена после того, как серверы Supermicro вели «необычную коммуникацию».

Микрочип
Микрочип

Микросхема была непосредственно выявлена экспертом в области безопасности Йосси Эпельбаумом, которого наняла одна из телекоммуникационных компаний. Эпельбаум привёл заказчикам подтверждающие документы, аналитику и прочие материалы несанкционированного аппаратного обеспечения. Правда, третьим лицам разглашать информацию он не имеет права, так что более подробных сведений нет.

Наши коллеги из CNET связались с американскими компаниями T-Mobile, Sprint и AT&T, которые ответили, что не имеют отношения к истории Bloomberg. Ещё одна компания, Verizon, просто отослала журналистов к Bloomberg со словами «Мы не причастны».

Chrome 70 может заблокировать ряд популярных сайтов

Новая версия браузера Google Chrome запланирована к выходу на 16 октября, и обозреватели предупреждают о проблеме, с которой могут столкнуться его пользователи.

Дело в том, что в Google решили отозвать сертификаты безопасности выданные Symantec. Решение принято после того, были выявлены несоответствия инфраструктуры стандартам безопасной выдачи сертификатов у Symantec. Дело в том, что Symantec разрешил множеству компаний выпускать сертификаты, несмотря на явные нарушения безопасности внутри этих организаций.

Google Chrome
Google Chrome

Часть этих сертификатов Google уже отменила в июне 2016 года. Теперь, с релизом Chrome 70 любые сертификаты, выданные агентствами VeriSign, Thawte, Equifax и другими, окажутся недействительными.

Исследователь Скотт Хельме недавно провёл анализ сайтов, которые попадут под запрет. Оказалось, что в их число входят финансовые учреждения, например, Federal Bank of India, Penn State Federal, правительственные ресурсы Тель-Авива и даже сайт Ferrari.

При этом отмечается, что ограничения могут не затронуть некоторые субдомены, так что доступ может быть ограничен не ко всем сайтам, а лишь к некоторым их разделам.

Windows пишет все ваши тексты при включённом рукописном вводе

Как только вы включаете функцию рукописного ввода, так сразу ваш компьютер начинает вести журнал всех текстов на компьютере, которые сохраняются в обычный нешифрованный файл WaitList.dat. В нём оказываются не только тексты, введённые от руки или напечатанные на клавиатуре, но и электронная почта и даже PDF файлы.

Целью существования данного файла является автоматический подбор текста для предиктивного ввода. Благодаря ему система пытается выяснить ваш словарный запас и частый порядок используемых слов. Многие другие экранные клавиатуры работают также, но не все хранят информацию открыто. Файл WaitList.dat совсем не защищён, и он может быть скопирован за секунды. А ведь внутри могут лежать важные персональные данные, включая сведения о платёжных картах и пароли.

Windows Hack
Windows Hack

Уязвимость впервые выявил эксперт Digital Forensics and Incident Response Барнаби Скеггс. Он сообщил: «Текст из каждого документа и электронного письма, проиндексированного сервисом Windows Search Indexer, хранится в WaitList.dat. Не только файлы, с которыми взаимодействовали посредством написания на сенсорном экране».

Сам файл лежит по пути C:\Users\%user%\AppData\Local\Microsoft\InputPersonalization\TextHarvester.

Если вы озабочены безопасностью своих данных, то вам стоит удалить данный файл и отключить распознавание рукописного текста. В настоящее время нет сведений о том, что данный файл отправлялся в Microsoft, а также о том, что какое-либо вредоносное ПО использует данную особенность системы. В будущем же хотелось бы видеть патч от Microsoft, который добавит немного секретности к данным в файле WaitList.dat.