Новости про безопасность

Firefox предупредит об утечке на сайте

Компания Mozilla последнее время активно работает над повышением приватности в своём браузере. Новая инициатива в браузере Firefox позволит узнать об утечках на сайте.

Теперь пользователи Firefox Quantum будут получать уведомление в том случае, если посещаемый сайт недавно допустил утечку данных. Всплывающее сообщение будет содержать отчёт о природе и объёме уязвимости с возможностью перехода на сервис Firefox Monitor для уточнения деталей. Изменения будут доступны пользователям браузера постепенно в ближайшие недели.

Firefox
Firefox

Используя Firefox Monitor пользователи смогут проверить, был ли их электронный адрес частью утечки данных, сверяясь по базе HIBP. Этот сервис, после запуска в сентябре, получил заметную популярность, на него уже подписались сотни тысяч пользователей. На фоне популярности сервис получил интерфейс 26 новыми языками.

Пользователи получат лишь однократное уведомление об утечке данных на посещаемом сайте, чтобы не раздражать людей. Также функционал можно отключить во всплывающем окне. Уведомление будет отображаться только в случае, если утечка произошла менее 12 месяцев назад.

Sony планирует использовать блокчейн для DRM

Компания Sony решила применить универсальность технологии блокчейна для улучшения защиты инфраструктуры своего контента.

Множество игровых компаний уже экспериментируют с блокчейном. У EA есть исследовательские проекты в этом направлении, а Ubisoft использует блокчейн для монетизации игр. Однако в Sony решили использовать блокчейн иначе — для защиты контента. Формально компания анонсировала новую систему DRM.

Блокчейн
Блокчейн

Пока Sony хочет использовать блокчейн для защиты образовательных материалов, подготовленных подразделением Global Education, однако позднее техника может быть применена к другим платформам, включая PlayStation Store и PlayStation Network, которые приносят компании миллиардные доходы.

На самом деле эта новость не сильно удивляет, поскольку ещё в мае компания разместила патент на DRM защиту с использованием блокчейна.

Возможно, DRM окажет меньшее воздействие на систему, но при этом даст больше безопасности. Sony PlayStation Network известна своей низкой безопасностью, особенно это ясно по примеру её падения при DDoS атаках прошлой зимой. Также не исключён вариант использования новой системы защиты в разрабатываемой PlayStation 5.

Простая, но опасная уязвимость Windows не исправлена за целый год

Год назад исследователи в области безопасности открыли одну уязвимость в семействе операционных систем Windows, которая до сих пор не исправлена.

Первым уязвимость нашёл Себастиан Кастро из CSL. Эта техника направлена на один параметр в учётной записи пользователя Windows, известный как Relative Identifier (RID). Воспользовавшись уязвимостью, хакер может получить полный административный доступ к компьютеру.

Идентификатор RID — это код, добавляемый в конце идентификатора безопасности учётной записи (Security Identifier —SID), который описывает группу доступа пользователя. К примеру, для гостевой записи RID равен 501, а для администратора — 500.

Иконка системного реестра Windows
Иконка системного реестра Windows

Кастро установил, что изменение ключа в реестре, содержащего информацию об учётных записях, может модифицировать RID, и таким образом изменить уровень доступа определённого пользователя. Удалённо таких изменений провести нельзя, но если хакер доберётся до машины, он сможет изменить группу пользователя на администратора, а затем выполнить с машиной любое действие.

Кастро обратился к Microsoft, исправила ли она уязвимость, на что был получен отрицательный ответ. Атака работает на всех Windows начиная с XP и до 10, и от Server 2003 до Server 2016. Пока информации о том, что уязвимостью пользовались, нет.

Bloomberg снова заявил о шпионских микросхемах

Две недели назад разгорелся шпионский скандал. Аналитическое агентство Bloomberg заявило о том, что в серверах от Supermicro содержатся некие шпионящие чипы.

Сама компания и её крупнейшие клиенты, среди которых Apple и Amazon, встали на защиту Supermicro. Но теперь Bloomberg вновь обвиняет производителя серверов.

На сей раз говорится об «имплантатах» в коннекторах Ethernet серверов Supermicro, которые были выявлены при инспекции своих ЦОД телекоммуникационными компаниями США. В отчёте говорится, что манипулирующая аппаратная часть была выявлена после того, как серверы Supermicro вели «необычную коммуникацию».

Микрочип
Микрочип

Микросхема была непосредственно выявлена экспертом в области безопасности Йосси Эпельбаумом, которого наняла одна из телекоммуникационных компаний. Эпельбаум привёл заказчикам подтверждающие документы, аналитику и прочие материалы несанкционированного аппаратного обеспечения. Правда, третьим лицам разглашать информацию он не имеет права, так что более подробных сведений нет.

Наши коллеги из CNET связались с американскими компаниями T-Mobile, Sprint и AT&T, которые ответили, что не имеют отношения к истории Bloomberg. Ещё одна компания, Verizon, просто отослала журналистов к Bloomberg со словами «Мы не причастны».

Chrome 70 может заблокировать ряд популярных сайтов

Новая версия браузера Google Chrome запланирована к выходу на 16 октября, и обозреватели предупреждают о проблеме, с которой могут столкнуться его пользователи.

Дело в том, что в Google решили отозвать сертификаты безопасности выданные Symantec. Решение принято после того, были выявлены несоответствия инфраструктуры стандартам безопасной выдачи сертификатов у Symantec. Дело в том, что Symantec разрешил множеству компаний выпускать сертификаты, несмотря на явные нарушения безопасности внутри этих организаций.

Google Chrome
Google Chrome

Часть этих сертификатов Google уже отменила в июне 2016 года. Теперь, с релизом Chrome 70 любые сертификаты, выданные агентствами VeriSign, Thawte, Equifax и другими, окажутся недействительными.

Исследователь Скотт Хельме недавно провёл анализ сайтов, которые попадут под запрет. Оказалось, что в их число входят финансовые учреждения, например, Federal Bank of India, Penn State Federal, правительственные ресурсы Тель-Авива и даже сайт Ferrari.

При этом отмечается, что ограничения могут не затронуть некоторые субдомены, так что доступ может быть ограничен не ко всем сайтам, а лишь к некоторым их разделам.

Windows пишет все ваши тексты при включённом рукописном вводе

Как только вы включаете функцию рукописного ввода, так сразу ваш компьютер начинает вести журнал всех текстов на компьютере, которые сохраняются в обычный нешифрованный файл WaitList.dat. В нём оказываются не только тексты, введённые от руки или напечатанные на клавиатуре, но и электронная почта и даже PDF файлы.

Целью существования данного файла является автоматический подбор текста для предиктивного ввода. Благодаря ему система пытается выяснить ваш словарный запас и частый порядок используемых слов. Многие другие экранные клавиатуры работают также, но не все хранят информацию открыто. Файл WaitList.dat совсем не защищён, и он может быть скопирован за секунды. А ведь внутри могут лежать важные персональные данные, включая сведения о платёжных картах и пароли.

Windows Hack
Windows Hack

Уязвимость впервые выявил эксперт Digital Forensics and Incident Response Барнаби Скеггс. Он сообщил: «Текст из каждого документа и электронного письма, проиндексированного сервисом Windows Search Indexer, хранится в WaitList.dat. Не только файлы, с которыми взаимодействовали посредством написания на сенсорном экране».

Сам файл лежит по пути C:\Users\%user%\AppData\Local\Microsoft\InputPersonalization\TextHarvester.

Если вы озабочены безопасностью своих данных, то вам стоит удалить данный файл и отключить распознавание рукописного текста. В настоящее время нет сведений о том, что данный файл отправлялся в Microsoft, а также о том, что какое-либо вредоносное ПО использует данную особенность системы. В будущем же хотелось бы видеть патч от Microsoft, который добавит немного секретности к данным в файле WaitList.dat.

Возможна реализация входа в Windows 10 через учётную запись Google

Новшество в проекте Chromium приводит нас к тому, что в будущем пользователи Windows 10 смогут входить в свои машины при помощи учётной записи Google. Проект Chromium предоставит поддержку Google Chrome для выдачи аттестатов в Windows 10.

Провайдеры аттестатов позволяют входить в Windows 10 посредством паролей или биометрической аутентификации. Третьи разработчики могут создавать свои собственные провайдеры аттестатов и регистрировать их для использования в Windows 10. Оказывается, Google планирует зарегистрировать браузер Chrome в качестве менеджера аттестатов в Windows 10.

Вход в Windows 10
Вход в Windows 10

Опубликованный код Chromium предполагает, что пользователи смогут входить в Windows 10 через учётную запись в G-Suite. Вполне возможно, что поддерживаться будут обычные учётные записи Google.

Когда же Google выпустит функцию провайдера аттестата пока неизвестно. Сейчас проект находится на ранних этапах разработки.

Поддельное расширение Mega для Chrome привело к массовой утечке пользовательских данных

Сервис Mega является шифрованным облачным хранилищем данных. Но оказалось, что оно имеет большую уязвимость, и всё из-за расширения для браузера Chrome.

Из-за установки поддельного приложения из Chrome Web Store, содержащего вредоносный код, пользователи потеряли свои данные учётных записей и ключи от криптокошельков.

Компания Mega дала ряд пояснений: «4 сентября 2018 года в 14:30 неизвестные злоумышленники загрузили в магазин Google Chrome троянскую версию расширения MEGA для Chrome версии 3.39.4».

Кроме Mega вредоносное расширение было нацелено на сайты, такие как Amazon, Live (Microsoft), Github и Google, перехватывая учётные записи пользователей. Также оно воровало приватные ключи от кошельков криптовалют, нацелившись на такие сервисы, как MyEtherWallet, MyMonero, и Idex.market.

Логотип Mega
Логотип Mega

В Mega добавили: «Если вы посещали любой из этих сайтов, или использовали другое расширение, отсылающее учтённые данные простым текстом по POST запросам, по прямому подчинению или через фоновый процесс XMLHttpRequest (MEGA в их число не входит), пока троянская версия была активна, учтите, что ваши учётные данные скомпрометированы через этот сайт и/или приложения».

Пока расследование показывает, что вся перехваченная информация была направлены на некий украинский сервер. Каким образом хакерам удалось получить доступ к учётной записи Mega в Chrome Web Store, компания пока не знает.

Отмечается, что «спустя 4 часа после выявления уязвимости, троянское расширение было обновлено Mega до чистой версии 3.39.5 с принудительным автообновлением».

IBM представила новый тип вредоносного ПО на базе искусственного интеллекта

Компания IBM в подтверждение концепции разработала вредоносное ПО под названием DeepLocker, которое использует искусственный интеллект для обхода средств кибернетической безопасности.

И хотя этот опасный эксперимент выглядит очень странно, он подтверждает, что злоумышленники также создают свои зловреды, используя ИИ.

Обычный зловред может быть перехвачен и разобран, чтобы создать средство обнаружения. Однако понять методы работы нейронной сети невозможно.

Чтобы продемонстрировать возможный ущерб от слияния криминала с искусственным интеллектом, в IBM создали специальный инструмент DeepLocker. Этот инструмент скрывается в других приложениях до тех пор, пока не выявит свою жертву. И когда человек, против которого нацелен зловред, идентифицируется, зловред срабатывает.

Искусственный интеллект
Искусственный интеллект

Срабатывание инструмента происходит после идентификации жертвы по нескольким критериям. Это может быть визуальное или звуковое выявление, геолокация, системные события. При этом выявить все возможные триггеры практически невозможно, поскольку реверс-инжиниринг нейронной сети — вещь крайне сложная.

В проведенной демонстрации DeepLocker прятался в приложении для конференц-связи. С помощью ИИ его научили срабатывать при выявлении определённого лица. Как только в кадре появлялся нужный человек, зловред исполнял возложенную на него функцию — блокировал систему жертвы.

Проведенная IBM работа показала традиционную слабость искусственного интеллекта как «чёрного ящика», в который нельзя заглянуть и понять его работу.

Выявлено 145 приложений Android с вредоносным кодом для Windows

Компания Google удалила из магазина приложений Play 145 программ, которые оказались инфицированы вредоносным кодом для Windows.

Инфицированные приложения были выявлены в лаборатории Unit 42 Palo Alto Networks. Эта компания предупредила Google о приложениях, которые содержат исполняемые файлы, способные нанести вред Windows машинам.

Приложения для Android
Приложения для Android

Вы наверно озадачены, как вирус для Windows может навредить Android, ведь это абсолютно разные платформы. И вы правы — никак. Но зачем же хакерам атаковать несовместимые экосистемы? Дело в том, что это не была спланированная атака. Просто компьютеры, на которых создавались эти приложения были инфицированы, и, соответственно, все файлы, поступившие от них, также заражены.

В Unit 42 считают риск от подобной уязвимости крайне высоким. Разработка приложений является крайне важным этапом, и если на машинах разработчика не обеспечена должная безопасность, это может вылиться в огромные проблемы. Этот урок уже усвоили все, благодаря NotPetya, который распространялся, среди прочих путей, через заражённые обновления ПО. В данной ситуации всем просто повезло, что платформа вируса не совпала с платформой эксплуатации.