Новости про безопасность

Chrome, Edge и Firefox скоро могут лишится паролей благодаря стандарту WebAuthn

В скором времени, благодаря стандарту WebAuthn, обозреватели интернета могут лишиться паролей. Сейчас его уже поддерживает Firefox, а браузеры Chrome и Edge готовятся к его реализации.

Разрабатываемый World Wide Web Consortium (W3C) и FIDO Alliance стандарт WebAuthn является API, который позволяет разработчикам лучше реализовывать новый стандарт безопасного логина FIDO2, который использует разные методы аутентификации, включая биометрику и USB брелоки. Их применение позволяет исключить использование паролей.

Ключ аппаратной защиты

Такой шаг позволит решить проблему путаницы паролей и фишинговых сайтов, позволяя осуществлять операции с онлайн сервисами намного безопаснее.

Технология WebAuthn уже давно находится в разработке, но чтобы стать популярной ей нужно заручиться поддержкой браузеров. Крупнейшие игроки рынка уже заявили об этом. Исключением является Apple, которая пока не сообщила о поддержке технологии в Safari, хотя компания и является одним из разработчиков API.

Вход в онлайн сервисы с помощью аппаратного ключа не является чем-то новым. Такой подход часто используют правительственные организации, однако для этого требуется специализированный донгл и драйвер. Технология WebAuthn унифицирует эту систему, позволяя применять общедоступные библиотеки.

Исследователи обошли блокировку компьютера с помощью Cortana

Исследователи представили миру демонстрацию обхода блокировки компьютера с Windows 10, защищённого паролем, и установку вредоносного ПО с сайта. Всё это благодаря голосовой помощнице Cortana.

Дело в том, что даже когда Windows 10 заблокирована и находится в режиме сна, Cortana продолжает слушать специфичные команды. Как сообщают израильские исследователи Тал Беери и Амичаи Шульман, имея физический доступ к заблокированному компьютеру можно подключить к нему сетевой USB адаптер, соединить его с Wi-Fi сетью, а затем использовать Cortana для запуска браузера и посещения не HTTPS сайта. Изменить сеть Wi-Fi можно даже на заблокированной машине.

Microsoft Cortana
Microsoft Cortana

Используя свой сетевой адаптер можно перехватывать HTTP запросы и перенаправить браузер на заражённую страницу. Затем с него загружается вредоносный код и устанавливается в систему.

После того как исследователи предупредили Microsoft о данной проблеме, в Редмонде быстро нашли решение, которое заключается в перенаправлении в заблокированном состоянии всех запросов от Cortana на сайт Bing, вместо непосредственного открытия веб страницы. Теперь же исследователи заняты поиском других уязвимостей, связанных с Cortana.

GitHub подвергся самой мощной DDoS атаке за всю историю Интернета

Известный репозиторий GitHub подвергся крупнейшей в истории DDoS атаке, при этом сайт был недоступен лишь 10 минут.

В инженерном блоге ресурса сообщается, что 28 февраля GitHub.com был в офлайне с 17:21 до 17:26 (по Всемирному координируемому времени), и сразу же снова «упал» с 17:26 до 17:30.

По данным ресурса, первая атака достигала максимальной плотности в 1,35 Тб/с, в то время как вторя достигла плотности 400 Гб/с. Это делает её крупнейшей атакой за всё время. До этого самой мощной была DDoS атака на скорости 1,1 Тб/с.

DDoS

Отмечено, что атака была произведена десятками тысяч распределённых уникальных точек. При достижении пика в 1,35 Тб/с скорость передачи пакетов составила 126,9 миллиона за секунду.

В GitHub отметили, что атака подобного рода может генерировать огромные объёмы траффика со спуфированием IP адресов, что позволяет откликам нацеливаться на другие адреса, как те, что обслуживают GitHub.com, и направлять больше данных на цель, чем необходимо было бы источнику без спуфа. В данной атаке коэффициент усиления составил 51000. Это значит, что каждый байт, отправленный атакующим, превращался в 51 КБ трафика на сервере GitHub.

При этом сайт отметил, что никакого риска для пользователей она не несёт, а конфиденциальность и целостность пользовательских данных не пострадала.

Windows Defender ATP выходит на Windows 7 и 8.1

Система безопасности Windows Defender Advanced Threat Protection (ATP) уже долгое время является частью Windows 10. Она помогает защищать компьютеры предприятий от многих типов невыявленных угроз, используя для анализа машинное обучение. К удивлению многих, Microsoft объявила о выпуске этого продукта для Windows 7 и 8.1.

Обе операционные системы уже полноценно не поддерживаются Microsoft. Разработчик лишь осуществляет их расширенную поддержку, выпуская только критические исправления. Своё решение по выпуску ATP для старых ОС компания объясняет тем, что множество предприятий сейчас находятся на переходном этапе с Windows 7 и 8.1 на Windows 10, и для обеспечения их комплексной безопасности продукт ATP будет выпущен на всём спектре поддерживаемых систем.

Windows Defender ATP

Система ATP Endpoint Detection & Response (EDR) будет доступна летом этого года. Она может работать с любым антивирусом, но Microsoft рекомендует Defender Antivirus, поскольку его использование позволит администраторам работать с единой консолью безопасности, быстрее выявляя и блокируя возможные угрозы.

Правительственные сайты заражены криптомайнерами

Вредоносное ПО на сайтах, которое добывает криптовалюту на компьютерах пользователей, это не новость. Обычно таким занимаются владельцы торрент трекеров, порносайтов и разнообразных пиратских ресурсов. Но оказалось, что есть ещё одна категория ресурсов, которые занимаются майнингом.

Сайт Eteknix сообщает, что сайты правительственных организаций США и Великобритании заражены майнерами. Речь идёт о сотнях веб сайтов, связанных с министерствами, департаментами и госагентствами. Многие из этих сайтов имеют проблемы с пропускной способностью и производительностью. Другие имеют проблемы с несоответствием веб стандартам и устаревшими программными аксессуарами, что делает их лёгкой мишенью для хакеров.

Взлом

Проблема кроется во встроенном в сайты онлайн сервисе синтеза речи, которой реализован на базе ПО Browsealoud. Некоторые устаревшие версии Browsealoud могут исполнять скрипты майнинга криптовалют, что вызвано уязвимостью в сервере синтеза речи.

Британский разработчик этого ПО, компания Texthelp, сейчас убеждает пользователей провести обновление. По всей видимости, уязвимы не только правительственные сайт двух стран, но и многие другие сайты, использующие ту же технологию озвучки текста. Ну а пока обновление не проведено вам стоит внимательно следить за загрузкой процессора, а ещё лучше — пользоваться расширениями для браузера, блокирующими скрипты майнинга.

uTorrent имеет серьёзные уязвимости

Тавис Орманди, эксперт в области безопасности из Google Project Zero, выявил уязвимость в торрент клиентах uTorrent Web и uTorrent Classic. Выяснилось, что клиенты открывают порты перед RPC сервером. Для uTorrent Classic это порт 10000, а для uTorrent Web — 19575.

Злоумышленники могут спрятать команды внутри веб страниц, взаимодействующих с этим RPC сервером, и чтобы всё сработало им нужно лишь заманить пользователя на эту вредоносную страницу. Торрент клиенты также подвержены обходу DNS, что позволяет атакующему легитимизировать запросы к RPC серверу.

Худшая ситуация сложилась с uTorrent Web. Орманди заявляет, что атакующие могут получить «секреты аутентификации», чтобы «получить полный контроль над RPC сервисом» и воздействовать на клиент uTorrent Web. Они могут загрузить вредоносный код на компьютер пользователя, изменить папку загрузки по умолчанию, так что любой злоумышленник может загрузить и исполнить код при следующей загрузке.

uTorrent

Клиент uTorrent Classic находится не в таком большом риске. Из него можно получить лишь список прошлых загрузок и заполучить ранее загруженные файлы, если таковые ещё доступны.

Примечательно, что разработчики торрент клиента уже отреагировали на информацию Орманди. Традиционная версия uTorrent Classic уже получила исправление в бета релизе 3.5.3, а в uTorrent Web внесены необходимые изменения.

Google исключила 700 000 вредоносных приложений за год

Компания Google продолжает активную работу по поиску и выведению из Play Store вредоносных приложений. Но поскольку технологическая компания работает с миллиардами Android устройств, она постоянно продолжает улучшать этот процесс фильтрации.

В 2017 году компания закрыла более 700 000 приложений, которые нарушают политику компании. Это на 70% больше, чем в 2016 году. Об этом сообщил производственный менеджер Google Play Эндрю Ан. «Мы не только удаляем плохие приложения, мы способны определить и воздействовать на них раньше. Фактически, были выявлены 99% приложений с оскорбительным контентом, и отклонены до того, как кто-либо их установил».

Google Play

Компания разделила вредоносные приложения на несколько категорий:

  • Подражатели: пытаются обмануть пользователей, выдавая себя за известные приложения.
  • Несоответствующий контент: такой как порнография, экстремальное насилие, ненависть или незаконная деятельность.
  • Потенциально опасные приложения: вредоносное ПО, которое может навредить пользователям или их устройствам.

Ан также сообщил, что компания исключила более 100 000 плохих разработчиков, а благодаря лучшей модели выявления «плохим участникам стало труднее создавать новые учётные записи и пытаться выпустить очередной набор плохих приложений».

В компании отметили, что Google Play Protect помогает выявить многие плохие приложение, однако у Google ещё есть масса ручной работы.

Опасную уязвимость Skype нельзя исправить

Эксперт в области безопасности Стефан Кантак нашёл опасную уязвимость в мессенджере Skype, которая позволяет получить неограниченный доступ к компьютеру жертвы.

Уязвимость кроется в системе обновления клиента и использует технику угона DLL. Суть опасности кроется во вредоносном коде, который размещается в DLL файле во временной папке, доступной пользователю. При этом библиотека переименовывается в название существующей библиотеки, доступной пользователю. При поиске обновлений Skype первой находит именно эту поддельную библиотеку и запускает вредоносный код из неё, дающий системные привилегии.

Skype

В результате атакующий может делать с машиной жертвы «что угодно». Сам Кантак проинформировал компанию Microsoft о найденной уязвимости ещё в сентябре, однако софтверный гигант ответил, что исправление ошибки потребует «большой переработки кода». Поэтому в компании считают, что ей лучше направить «все ресурсы» на создание новой версии клиента.

Windows Defender будет блокировать пугающие сообщения оптимизирующих программ

Встроенный антивирус компании Microsoft, Windows Defender, получит в следующем месяце важный функционал. В компании объявили, что Windows Defender начнёт удалять ПО, которое выводит «принудительные сообщения» или «обманчивый контент, чтобы заставить заплатить за дополнительные сервисы или выполнить лишние действия».

Этот тип программ-пугалок обычно ассоциируется с программами-очистителями и оптимизаторами памяти и реестра, либо предлагают какие-то иные способы ускорения ПК. В них обычно предлагается бесплатно просканировать компьютер на различные ошибки, после чего выпускаются сообщения о срочной необходимости их исправления, грозя разными ужасными последствиями. Конечно же, исправление доступно только в платной версии.

Предупреждение о вирусах

В Microsoft решили, что эти приложения «проблематичны» для обычных пользователей Windows, так что теперь Windows Defender будет определять такие приложения как «нежелательное ПО» и будет удалять их с ПК.

Этот тип приложений для очистки существует годами, но то, что Microsoft заинтересовалась этими программами, не может не радовать.

В компании отметили, что запустят принудительное удаление пугающих приложений уже с 1 марта. Сейчас же разработчики могут проверить свои программы на совместимость с новой версии Windows Defender, чтобы избежать нежелательных блокировок.

Kaspersky нашёл опаснейший зловред для Android

Вредоносное ПО для Android, мимикрирующее под полезные приложения и высылающее данные о владельце, выявляются с регулярной периодичностью даже на Google Play, Однако лаборатория Касперского выявила новый вирус, который по масштабам слежки несравним ни с одним другим решением.

Зловред под названием Skygofree был разработан ещё в 2014 году и до сегодняшнего дня был переделан много раз, превратившись в шпионящего монстра. В Kaspersky его характеризуют как «многоэтапное шпионское ПО, предоставляющее атакующему полный удалённый контроль над инфицированным устройством».

Средство Skygofree способно записывать аудио через микрофон устройства при нахождении жертвы в определённом месте, способно передавать сообщения из WhatsApp, получая к нему доступ через Accessibility Services. Также Skygofree может автоматически подключать устройство к Wi-Fi сети для передачи ещё большего объёма шпионских данных и управления.

Вредононое ПО Android

Если этого мало, то исследователи выявили в Skygofree возможность захвата изображений, видео, событий календаря и кражи деловой информации, хранимой на устройстве.

Необычность зловреду придаёт его ориентированность на устройства Huawei, где он имеет системный приоритет и не отключается даже в режиме энергосбережения.

В Kaspersky отмечают, что Skygofree был, скорее всего, разработан в Италии и распространился по миру через подставные сайты сотовых операторов. Заказчиками зловреда, вероятнее всего, являются полиция и правительственные учреждения.