Новости про безопасность

Bloomberg снова заявил о шпионских микросхемах

Две недели назад разгорелся шпионский скандал. Аналитическое агентство Bloomberg заявило о том, что в серверах от Supermicro содержатся некие шпионящие чипы.

Сама компания и её крупнейшие клиенты, среди которых Apple и Amazon, встали на защиту Supermicro. Но теперь Bloomberg вновь обвиняет производителя серверов.

На сей раз говорится об «имплантатах» в коннекторах Ethernet серверов Supermicro, которые были выявлены при инспекции своих ЦОД телекоммуникационными компаниями США. В отчёте говорится, что манипулирующая аппаратная часть была выявлена после того, как серверы Supermicro вели «необычную коммуникацию».

Микрочип
Микрочип

Микросхема была непосредственно выявлена экспертом в области безопасности Йосси Эпельбаумом, которого наняла одна из телекоммуникационных компаний. Эпельбаум привёл заказчикам подтверждающие документы, аналитику и прочие материалы несанкционированного аппаратного обеспечения. Правда, третьим лицам разглашать информацию он не имеет права, так что более подробных сведений нет.

Наши коллеги из CNET связались с американскими компаниями T-Mobile, Sprint и AT&T, которые ответили, что не имеют отношения к истории Bloomberg. Ещё одна компания, Verizon, просто отослала журналистов к Bloomberg со словами «Мы не причастны».

Chrome 70 может заблокировать ряд популярных сайтов

Новая версия браузера Google Chrome запланирована к выходу на 16 октября, и обозреватели предупреждают о проблеме, с которой могут столкнуться его пользователи.

Дело в том, что в Google решили отозвать сертификаты безопасности выданные Symantec. Решение принято после того, были выявлены несоответствия инфраструктуры стандартам безопасной выдачи сертификатов у Symantec. Дело в том, что Symantec разрешил множеству компаний выпускать сертификаты, несмотря на явные нарушения безопасности внутри этих организаций.

Google Chrome
Google Chrome

Часть этих сертификатов Google уже отменила в июне 2016 года. Теперь, с релизом Chrome 70 любые сертификаты, выданные агентствами VeriSign, Thawte, Equifax и другими, окажутся недействительными.

Исследователь Скотт Хельме недавно провёл анализ сайтов, которые попадут под запрет. Оказалось, что в их число входят финансовые учреждения, например, Federal Bank of India, Penn State Federal, правительственные ресурсы Тель-Авива и даже сайт Ferrari.

При этом отмечается, что ограничения могут не затронуть некоторые субдомены, так что доступ может быть ограничен не ко всем сайтам, а лишь к некоторым их разделам.

Windows пишет все ваши тексты при включённом рукописном вводе

Как только вы включаете функцию рукописного ввода, так сразу ваш компьютер начинает вести журнал всех текстов на компьютере, которые сохраняются в обычный нешифрованный файл WaitList.dat. В нём оказываются не только тексты, введённые от руки или напечатанные на клавиатуре, но и электронная почта и даже PDF файлы.

Целью существования данного файла является автоматический подбор текста для предиктивного ввода. Благодаря ему система пытается выяснить ваш словарный запас и частый порядок используемых слов. Многие другие экранные клавиатуры работают также, но не все хранят информацию открыто. Файл WaitList.dat совсем не защищён, и он может быть скопирован за секунды. А ведь внутри могут лежать важные персональные данные, включая сведения о платёжных картах и пароли.

Windows Hack
Windows Hack

Уязвимость впервые выявил эксперт Digital Forensics and Incident Response Барнаби Скеггс. Он сообщил: «Текст из каждого документа и электронного письма, проиндексированного сервисом Windows Search Indexer, хранится в WaitList.dat. Не только файлы, с которыми взаимодействовали посредством написания на сенсорном экране».

Сам файл лежит по пути C:\Users\%user%\AppData\Local\Microsoft\InputPersonalization\TextHarvester.

Если вы озабочены безопасностью своих данных, то вам стоит удалить данный файл и отключить распознавание рукописного текста. В настоящее время нет сведений о том, что данный файл отправлялся в Microsoft, а также о том, что какое-либо вредоносное ПО использует данную особенность системы. В будущем же хотелось бы видеть патч от Microsoft, который добавит немного секретности к данным в файле WaitList.dat.

Возможна реализация входа в Windows 10 через учётную запись Google

Новшество в проекте Chromium приводит нас к тому, что в будущем пользователи Windows 10 смогут входить в свои машины при помощи учётной записи Google. Проект Chromium предоставит поддержку Google Chrome для выдачи аттестатов в Windows 10.

Провайдеры аттестатов позволяют входить в Windows 10 посредством паролей или биометрической аутентификации. Третьи разработчики могут создавать свои собственные провайдеры аттестатов и регистрировать их для использования в Windows 10. Оказывается, Google планирует зарегистрировать браузер Chrome в качестве менеджера аттестатов в Windows 10.

Вход в Windows 10
Вход в Windows 10

Опубликованный код Chromium предполагает, что пользователи смогут входить в Windows 10 через учётную запись в G-Suite. Вполне возможно, что поддерживаться будут обычные учётные записи Google.

Когда же Google выпустит функцию провайдера аттестата пока неизвестно. Сейчас проект находится на ранних этапах разработки.

Поддельное расширение Mega для Chrome привело к массовой утечке пользовательских данных

Сервис Mega является шифрованным облачным хранилищем данных. Но оказалось, что оно имеет большую уязвимость, и всё из-за расширения для браузера Chrome.

Из-за установки поддельного приложения из Chrome Web Store, содержащего вредоносный код, пользователи потеряли свои данные учётных записей и ключи от криптокошельков.

Компания Mega дала ряд пояснений: «4 сентября 2018 года в 14:30 неизвестные злоумышленники загрузили в магазин Google Chrome троянскую версию расширения MEGA для Chrome версии 3.39.4».

Кроме Mega вредоносное расширение было нацелено на сайты, такие как Amazon, Live (Microsoft), Github и Google, перехватывая учётные записи пользователей. Также оно воровало приватные ключи от кошельков криптовалют, нацелившись на такие сервисы, как MyEtherWallet, MyMonero, и Idex.market.

Логотип Mega
Логотип Mega

В Mega добавили: «Если вы посещали любой из этих сайтов, или использовали другое расширение, отсылающее учтённые данные простым текстом по POST запросам, по прямому подчинению или через фоновый процесс XMLHttpRequest (MEGA в их число не входит), пока троянская версия была активна, учтите, что ваши учётные данные скомпрометированы через этот сайт и/или приложения».

Пока расследование показывает, что вся перехваченная информация была направлены на некий украинский сервер. Каким образом хакерам удалось получить доступ к учётной записи Mega в Chrome Web Store, компания пока не знает.

Отмечается, что «спустя 4 часа после выявления уязвимости, троянское расширение было обновлено Mega до чистой версии 3.39.5 с принудительным автообновлением».

IBM представила новый тип вредоносного ПО на базе искусственного интеллекта

Компания IBM в подтверждение концепции разработала вредоносное ПО под названием DeepLocker, которое использует искусственный интеллект для обхода средств кибернетической безопасности.

И хотя этот опасный эксперимент выглядит очень странно, он подтверждает, что злоумышленники также создают свои зловреды, используя ИИ.

Обычный зловред может быть перехвачен и разобран, чтобы создать средство обнаружения. Однако понять методы работы нейронной сети невозможно.

Чтобы продемонстрировать возможный ущерб от слияния криминала с искусственным интеллектом, в IBM создали специальный инструмент DeepLocker. Этот инструмент скрывается в других приложениях до тех пор, пока не выявит свою жертву. И когда человек, против которого нацелен зловред, идентифицируется, зловред срабатывает.

Искусственный интеллект
Искусственный интеллект

Срабатывание инструмента происходит после идентификации жертвы по нескольким критериям. Это может быть визуальное или звуковое выявление, геолокация, системные события. При этом выявить все возможные триггеры практически невозможно, поскольку реверс-инжиниринг нейронной сети — вещь крайне сложная.

В проведенной демонстрации DeepLocker прятался в приложении для конференц-связи. С помощью ИИ его научили срабатывать при выявлении определённого лица. Как только в кадре появлялся нужный человек, зловред исполнял возложенную на него функцию — блокировал систему жертвы.

Проведенная IBM работа показала традиционную слабость искусственного интеллекта как «чёрного ящика», в который нельзя заглянуть и понять его работу.

Выявлено 145 приложений Android с вредоносным кодом для Windows

Компания Google удалила из магазина приложений Play 145 программ, которые оказались инфицированы вредоносным кодом для Windows.

Инфицированные приложения были выявлены в лаборатории Unit 42 Palo Alto Networks. Эта компания предупредила Google о приложениях, которые содержат исполняемые файлы, способные нанести вред Windows машинам.

Приложения для Android
Приложения для Android

Вы наверно озадачены, как вирус для Windows может навредить Android, ведь это абсолютно разные платформы. И вы правы — никак. Но зачем же хакерам атаковать несовместимые экосистемы? Дело в том, что это не была спланированная атака. Просто компьютеры, на которых создавались эти приложения были инфицированы, и, соответственно, все файлы, поступившие от них, также заражены.

В Unit 42 считают риск от подобной уязвимости крайне высоким. Разработка приложений является крайне важным этапом, и если на машинах разработчика не обеспечена должная безопасность, это может вылиться в огромные проблемы. Этот урок уже усвоили все, благодаря NotPetya, который распространялся, среди прочих путей, через заражённые обновления ПО. В данной ситуации всем просто повезло, что платформа вируса не совпала с платформой эксплуатации.

Уязвимость WPA2 позволяет легко взламывать WiFi

Уязвимость в безопасности сетей выявлена в протоколе WPA/WPA2. Она позволяет не только подключаться к Сети, но и получать доступ к роутеру.

Уязвимость выявлена случайно исследователем Дженсом Стьюби при проведении тестов нового протокола WPA3. Сравнивая процесс подключения при обмене ключами Pre-Shared Key в WPA2 и Simultaneous Authentication of Equals в WPA3, он установил, что новая атака не требует присутствия конечного пользователя. Все известные методы взлома WPA2 основаны на перехвате процесса «рукопожатия» между пользователем и сетью и дальнейшей брутфорс-атакой. Метод, выявленный Стьюби, нацелен на единственный кадр в Robust Security Network Information Element, а потому не требует проведения подключения.

Роутер

«В настоящее время мы не знаем, сколько производителей и как много роутеров уязвимы перед этой техникой, но мы думаем, что она сработает на всех сетях 802.11i/p/q/r с включённой функцией роуминга (большинство современных роутеров)», — сообщил Стьюби.

Протокол WPA3 был анонсирован в январе. Он использует 128-битное шифрование в персональном режиме и 192-битное в корпоративном. Также в нём технология разделённых ключей заменена на процесс одновременной аутентификации равных, что исключает возможность проведения атаки по методу Стьюби.

Microsoft добавит песочницу в Windows 10

Компания Microsoft готовится добавить в свою операционную систему новую функцию безопасности, которая предназначена для безопасного запуска приложений, полученных из сомнительных источников.

Функция получила название InPrivate Desktop, а её предварительная версия была обнаружена в Windows 10 Insider Feedback Hub. В описании говорится, что InPrivate Desktop for Windows 10 обеспечит «разовую песочницу для безопасного однократного исполнения недоверенного ПО». Это значит, что целью внедрения песочницы является снижение рисков для хост-системы при исполнении сомнительных программ.

Windows 10
Windows 10

Разбор Feedback Hub также показал, что функция InPrivate Desktop будет доступна исключительно для Windows 10 Enterprise, начиная с версии 17718. Для её работы потребуется как минимум 4 ГБ ОЗУ, 5 ГБ дискового пространства и два ядра процессора. Безусловно, функция гипервизора должна быть включена в BIOS.

InPrivate Desktop
InPrivate Desktop

Пока Microsoft официально не анонсировала функцию, так что о сроках её выпуска ничего не известно.

Intel будет использовать встроенную графику для выявления зловредов

Компания Intel дополнила технологии Accelerated Memory Scanning и Advanced Platform Telemetry двумя новыми средствами для противостояния вредоносному ПО на аппаратном уровне.

Теперь система Accelerated Memory Scanning будет выгружать выявление атак на основе памяти на встроенную графику CPU. Согласно внутренним тестам компании, нагрузка методом GPGPU позволила снизить использование CPU с 20% до 2%.

Скан вредоносного кода
Скан вредоносного кода

Вторая техника объединяет отслеживание и облачное машинное обучение для выявления более совершенных угроз. Когда вредоносный код размещается на жёстком диске, он может быть замаскирован или даже зашифрован. Теоретически, когда он попадает в память, его становится легче выявить.

Процесс сканирования памяти на признаки вредоносного кода обслуживается драйвером Intel и работает в так называемой цепи приложений или Ring 3. Однако возможности данного решения могут быть расширены до уровня ядра, или Ring 0. Интенсивность сканирования может быть настроена для загрузки GPU. Однако если пользователь играет в игру, сканирование может быть отложено или размещено на других незагруженных ядрах GPU.