Новости про безопасность

Intel выявила 77 новых уязвимостей процессоров

Каждый месяц компания Intel составляет отчёт о выявленных уязвимостях, чтобы передать их партнёрам, которые должны обеспечить безопасную работу продуктов.

В этом месяце компания опубликовала бюллетень, в котором указаны 77 уязвимостей, связанных с центральными процессорами, графикой и даже сетевыми контроллерами. 67 из этих ошибок выявлены самой Intel, а остальные 10 — сторонними компаниями. Среди этих ошибок самой неприятной является JCC Erratum, которая влияет на производительность последних поколений CPU, включая Coffee Lake, Amber Lake, Cascade Lake, Skylake, Whiskey lake, Comet Lake и Kaby Lake.

Ошибка связана с работой буфера стримингового кэша/декодирования. Её можно исправить обновлением прошивки, однако в документе по Jump Conditional Code Erratum отмечается, что ожидаемое влияние на производительность при разрешении проблемы составит от 0 до 4%, исключая аномальные значения. Это значит, что при некоторых типах нагрузки, потери могут быть ещё больше.

Сайт Phoronix первым опубликовал результаты влияния исправления JCC Erratum на производительность процессора, отметив заметный спад в некотором ПО. В отличие от многих других решений Intel, исправление ошибки JCC Erratum ведёт к потере производительности в бытовых задачах, а значит, обновление с исправлением приведёт к снижению в скорости работы обычных PC в большей степени, чем при исправлении прошлых ошибок.

Google создаёт альянс по безопасности приложений Android

Магазин Google Play Store является домом для миллионов приложений, и, конечно же, не все они безопасные. Компания Google уделяет всё больше внимания своему магазину, постоянно удаляя несоответствующее ПО, однако всё чаще мы слышим новости о зловредах, которые устанавливают тысячи пользователей.

Чтобы эффективнее противостоять опасным приложениям, компания Google основала альянс, который она назвала App Defense Alliance. В него входят Google, ESET, Lookout и Zimperium. Целью его работы является «остановка плохих приложений до того, как они достигнут пользовательских устройств». Останавливать приложения будут с помощью дополнительных проверок перед публикацией в Play Store.

Google Play
Google Play

Интернет-гигант интегрирует сканирующие средства от каждой из трёх групп в систему обнаружения Play Protect, которая будет сканировать приложения на различные угрозы. Компании-партнёры также будут анализировать данные об угрозах, чтобы улучшить их выявление. По словам Google, системы будут использовать комбинацию машинного обучения, статического и динамического анализа.

Стоит отметить, что усиление безопасности в Play Store крайне необходимо. По словам исследователя Лукаса Стефанко, в магазине было выявлено 172 вредоносных приложения, которые установлены более чем 335 миллионами пользователей.

xHelper инфицировал 45 тысяч смартфонов на Android

В поле зрения антивирусных компаний попал новый зловред для операционной системы Android, который хотя и не наносит сильного вреда, имеет устойчивый механизм автоматической переустановки.

Вирус получил название xHelper. Впервые он появился в марте, после чего начал медленное распространение до 32 тысяч поражённых устройств в августе и 45 тысяч устройств в октябре.

По словам Symantec, этот вирус находит ежедневно 131 новую жертву. Наибольшее распространение xHelper получил в Индии, США и России.

Как сообщает Malwarebytes, инфекция распространяется благодаря переводу пользователей на страницу, где выложено некое приложение для Android. На этом сайте даются инструкции, как установить приложение из неофициального источника. А вот код, скрытый в этом приложении, и содержит троян xHelper.

За ним пока не выявлены разрушительные действия. По данным Malwarebytes и Symantec, большую часть своей жизни этот вирус занимается принудительной демонстрацией рекламы, а также показывает спам в области уведомлений. Эта реклама и нотификации переводят пользователей на Play Store, где жертву просят установить другое приложение. Таким образом, создатели xHelper зарабатывают деньги на комиссиях с установки.

Самое неприятное в XHelper то, что он работает с устройством как приложение из прошивки и устанавливает себя в виде отдельного сервиса. Более того, приложение нельзя удалить, поскольку троян постоянно переустанавливает себя, даже после сброса телефона до заводских настроек.

Intel предлагает использовать в процессорах память защищённую от спекулятивного доступа

Компания Intel опубликовала исследование, в котором предлагает создать память с защитой от спекулятивного доступа.

Такая идея пришла на ум команде агрессивных стратегических исследований и сокращений (STrategic Offensive Research & Mitigations — STORM). Идея работы заключается в замене существующей процессорной памяти более безопасным стандартом, который не допускает спекулятивного исполнения кода при атаках, похожих на Spectre.

Значок уязвимости Spectre
Значок уязвимости Spectre

С начала 2018 года промышленность потрясло открытие уязвимостей Meltdown и Spectre. С того момента были выявлены многие другие уязвимости подобного плана, что свидетельствует о больших проблемах в архитектуре. Побочные атаки спекулятивного доступа несут большую угрозу в ситуациях, когда много пользователей делят общие вычислительные ресурсы. Такая ситуация имеет место быть в облачных вычислениях или у хостинг-провайдеров.

Память Speculative-Access Protected Memory (SAPM) пока находится на уровне теоретических изысканий. Команда STORM предлагает некоторые варианты её реализации, однако впереди ещё много работы. В исследовании говорится, что такая память приведёт к потере производительности, однако эта потеря будет не столь большой, с какой мы столкнулись при программных исправлениях выявленных уязвимостей.

Торвальдс сообщил о функции «фиксации» ядра Linux

Линус Торвальдс подтвердил разработку новой функции безопасности в операционной системе Linux, которая получила название «lockdown».

Новая функция будет поставлена в виде LSM (Linux Security Module) и будет работать с семейством ядер Linux версии 5.4, однако она будет по умолчанию выключенной. Это сделано из-за того, что данная функция может нарушить работу существующей системы.

Функция Lockdown позволит усилить разделение между пользовательскими процессами и кодом ядра, не допуская даже root-аккаунт к взаимодействию с кодом ядра. Раньше система позволяла это делать.

Основатель Linux Линус Торвальдс
Основатель Linux Линус Торвальдс

Будучи включённой, lockdown ограничит некоторый функционал ядра даже для root-пользователей, что затруднит скомпрометированным администраторским учётным записям доступ к остальной части ОС.

Торвальдс отметил: «При активации, различные части функционала ядра блокируются. К ним относятся ограничение доступа к функциям ядра, которые могут позволить исполнение произвольного кода через поддержку кода пользовательскими процессами. Блокирование процессов от чтения и записи памяти /dev/mem и /dev/kmem. Блокирование доступа к открытию /dev/port для предотвращения прямого доступа к портам. Усиление сигнатур модулей ядра и другие изменения».

Google анонсирует три новые функции приватной безопасности

Компания Google представила новые инструменты, которые позволяют повысить уровень приватности при пользовании фирменными сервисами: Google Maps, YouTube, and Google Assistant.

В Google Maps был внедрён режим инкогнито. При его включении на мобильном устройстве активность и история поиска не будут сохраняться в учётной записи и не будут использоваться для персонализации использования Maps. Этот функционал появится на Android в октябре, а на iOS он будет доступен позднее.

Для YouTube компания предлагает функцию автоудаления веб-данных и истории местоположения за желаемый период. «Устанавливайте период времени, в течение которого будут храниться ваши данные — 3 месяца, 18 месяцев или до ручного удаления», — сообщил представитель Google Эрик Мираглиа.

Настройка персональной активности Google
Настройка персональной активности Google

И, наконец, Google позволит очистить голосовые команды или запросы к Google Assistant без открытия приложения. Достаточно просто сказать: «ОК Google, удали последнее, что я сказал» или «удали всё, что я сказал на прошлой неделе». После чего данные будут удалены. К сожалению, если вы хотите удалить историю голосовых запросов за более длительный период, то вам придётся открыть настройки Google Assistant.

Также компания сообщила, что готовит новую функцию проверки пароля, сохранённого в менеджере паролей. Компания будет быстро проверять, скомпрометирован ли ваш пароль при прошлых утечках, используется ли он в различных учётных записях и не являются ли ваши пароли слишком простыми для взлома.

В Chrome выявлены мошеннические блокираторы рекламы

Многих людей раздражает реклама в Интернете, и они используют блокировщики рекламы. Но оказалось, что не все блокировщики выполняют свою работу по-честному.

Исследователи из Adguard выявили два расширения для браузера Chrome, которые используют названия, очень похожие на именитых блокировщиков, обманывая людей. Первое из этих расширений — uBlock by Charlie Lee, имело более 850 000 пользователей, а второе, AdBlock by AdBlock Inc — более 800 000.

Эти расширения удаляют рекламу с веб-страниц, посещаемых пользователями, однако исследователи обнаружили, что при этом применяется cookie stuffing — мошенническая схема подмены куки на стороне пользователя, которая генерирует прибыль разработчикам.

Поддельные блокировщики рекламы
Поддельные блокировщики рекламы

Безопасники выяснили, что через 55 часов после установки расширения отправляли запрос на URL для каждого нового посещённого пользователем домена. Таким образом они получали от сайтов партнёрские ссылки. В Adguard пояснили, что «этот новый ответ содержит список команд, которые должно выполнить расширение. После этого поведение расширений меняется, и они начинают делать еще несколько вещей, помимо блокировки рекламы».

Вся вина за произошедшее пала на Google, которая должна была удалить расширения. Но каковы масштабы бедствия?

Безопасники заявляют, что масштаб беспрецедентен. Эти два расширения имели более 1,6 миллиона «еженедельно активных пользователей», получавших дополнительные куки с более 300 вебсайтов, входящих в список Alexa Top 10000. Ущерб оценить сложно, но речь идёт о миллионах долларов ежемесячно.

Cloudflare выпустил бесплатный мобильный VPN 1.1.1.1 Warp

Интернет-гигант Cloudflare запустил в работу новые сервисы Warp и Warp+, которые станут дополнением к существующему сервису шифрования DNS.

Благодаря сервису шифрования доступа к DNS 1.1.1.1 пользователи мобильных платформ могли быть уверены, что никто не отследит посещаемый ими сайт. Благодаря новому сервису VPN, подключение становится полностью зашифрованным.

Новый VPN-сервис Warp заработал после длительного ожидания. По словам разработчиков, Warp ожидали порядка двух миллионов человек. Теперь он доступен всем желающим совершенно бесплатно.

Скриншот 1.1.1.1 Warp
Скриншот 1.1.1.1 Warp

Не обошлось и без платных возможностей. Сервис Warp+ обеспечивается сетью Cloudflare Argo, которая по словам компании, позволяет сайтам загружаться на 30% быстрее. Что касается стоимости — то она рассчитывается весьма необычно. Так, месячный тариф использования Warp+ составляет цену на один Big Mac в местной валюте. Кроме того, все, кто изъявил желание попробовать Warp до его готовности, получили по 10 ГБ бесплатного трафика в Warp+.

Что касается нашего опыта, то особой разницы в скорости между Warp+ и Warp мы не заметили.

Приложение 1.1.1.1 доступно для iOS и Android. Другие платформы Cloudflare обещает рассмотреть в будущем.

RivaTuner Statistic Server приводит к бану в онлайн-играх?

В Сети стали появляться сообщения о том, что пользователи RivaTuner Statistic Server, сталкиваясь с блокировками в видеоиграх, обвиняют во всём утилиту.

Один из участников Reddit с ником Rivelia сообщил, что, пользуясь RTSS (для контроля частоты кадров) и ReShade (для лучшего AA и HDR) в одной из игр от EA, он схлопотал бан от античитинговой системы EAC. Сама компания Electronic Arts не стала пояснять за что его заблокировали, сославшись на «торговый секрет». На основе этих данных пользователь связал свой бан именно с утилитой RTSS, а потому обратился к её автору Алексею «Unwinder» Николайчуку.

Алексей ответил Rivelia, подробно объяснив принцип действия античитинговой системы и непричастность любых OSD-утилит. Его пост мы и публикуем ниже:

Этот тред является хорошим примером, демонстрирующим, как рождаются мифы. Нет, это не RTSS. И нет, это не ReShade. Забаненные пользователи периодически связываются со мной, утверждая, что они использовали только RTSS и получили свой запрет из-за него, и просят меня помочь связаться с издателем игры или разработчиком античита, чтобы снять запрет. И нет, я не могу помочь таким пользователям, потому что это неправда, оверлеи никогда не являются причиной запретов.

Вы физически не можете говорить, что вы забанены из-за какого-либо оверлея, будь то RTSS, GFE или чего-то подобного, что перехватывает игру для отображения в OSD. Вы не можете говорить, что вы забанены из-за программного обеспечения для видеозахвата, такого как DXTory или OBS, которое также перехватывает игру для захвата кадров. Вы не можете говорить, что вы забанены из-за ReShade, который перехватывает игру, чтобы выделять кадры и применять к ним постобработку. Вы не можете утверждать, что работали только с таким абсолютно легитимным приложением, а затем неожиданно получили несправедливый бан со стороны EAC, и что подобное приложение стало причиной. Вы не можете этого сделать, потому что все современные античиты используют принцип отложенного запрета, и ВСЕГДА блокируют учётные записи за некоторые особые действия, которые были обнаружены и имели место в прошлом (от нескольких дней до нескольких недель назад). Если бы он немедленно запретил использование читов, разработчикам читов было бы намного проще отлаживать коммерческие средства обмана. Отложенный бан используется всегда, поэтому вы никогда не узнаете наверняка, что ваш чит является необнаружимым при его использовании или разработке. Таким образом, приложения, которые вы запускаете во время или непосредственно перед получением бана, никогда не являются его причиной.

Вы не можете принять, что вы, вероятно, использовали что-то законное, которое просто не занесено в белый список античитом, поэтому оно ложно вызвало запрет. Принцип белого списка разрешённого программного обеспечения в античитах не работает таким образом. Если программное обеспечение не занесено в белый список античита, это не значит, что оно вызовет запрет. Современные античиты, такие как EAC, просто не позволяют такому (то есть не внесённому в белый список) программному обеспечению взаимодействовать с игровым процессом (то есть подключать его и отображать наложение, захватывать видео или применять эффекты постобработки, как это делает Reshade). Он никогда не забанит вас, когда увидит что-то неизвестное, античиты не используют эвристику для применения запретов. Все неизвестное (то есть не в белом списке) просто изолировано от игрового процесса. Напротив, античит применяет запрет только, если видит какие-то модули из чёрного списка, введённые в игру (то есть что-то однозначно известное как связанное с обманом).

По этой причине политика использования античитов предполагает, что разработчики никогда не сообщают вам, что именно послужило причиной вашего бана, и никогда не сообщают, когда именно была обнаружена активность, связанная с мошенничеством. Поэтому попытки связаться с издателем игры, разработчиками античита или сторонними разработчиками никогда не увенчаются успехом. Единственным исключением, когда вы видите, что ваша учётная запись была ложно забанена и возвращена вам, является сбой в реализации античита. Но такие вещи лишь имеют место на начальных этапах запуска игры, приводят к массовым волнам ложных запретов, и расследуются разработчиками античита быстро, без непосредственного контакта с вами.

Кроме того, всегда имейте в виду, что античит также анализирует программное обеспечение, которое вы установили и которое запускаете на своём компьютере. Таким образом, наличие установленного чего-то вроде CheatEngine и его простая пассивная работа в фоновом режиме во время игры, защищённой от читов (даже если вы не пытаетесь использовать его для мошенничества в этой игре), может быть достаточным основанием для потери вашего аккаунта.

Подводя итог, вы ничего не можете сделать, связавшись с издателем игры или разработчиками EAC. Это никогда не сработает из-за античитинговой политики. Если ваш бан вызван ошибкой античита, то вы определённо не единственный, кто пострадал из-за него, и он будет обработан без вашего вмешательства. В противном случае, играйте честно, не загружайте и не устанавливайте ЛЮБЫЕ приложения, связанные с взломом / мошенничеством в игре (даже если вы планируете использовать их для другой игры), и вы в безопасности.

Тем не менее, сам Rivelia так и не сознался в читерстве, и считает, что его наказание несправедливо.

Firefox готовится внедрить DNS-over-HTTPS по умолчанию

Группа Mozilla тестирует технологию DNS-over-HTTPS в течение нескольких месяцев, сотрудничая в этом направлении с Cloudflare и Akamai. Получив необходимый опыт, Mozilla теперь готова к внедрению технологии по умолчанию.

В сборке Nightly Firefox технология DoH появилась в 2018 году, а в финальных сборках она стала доступна несколько месяцев назад. Сейчас её можно включить вручную. Целью работы было повышение интеграции с Firefox с DoH. Проведя эксперименты, разработчики смогли выявить и устранить возможные проблемы, не нарушив комфорт пользователей и работу промышленных сетей.

Логотип Mozilla Firefox

В результате было решено внедрять DoH в «выпадающем режиме». Это означает, что, если при использовании DoH не удастся получить доменное имя, Firefox вернётся к использованию DNS, указанному операционной системой. Также, если Firefox выявляет наличие родительского контроля или политики предприятия, Firefox отключит шифрованный доступ к DNS.

В Mozilla уже начинают постепенно подключать DNS-over-HTTPS в Firefox по умолчанию на территории США.