Новости про безопасность

Торвальдс сообщил о функции «фиксации» ядра Linux

Линус Торвальдс подтвердил разработку новой функции безопасности в операционной системе Linux, которая получила название «lockdown».

Новая функция будет поставлена в виде LSM (Linux Security Module) и будет работать с семейством ядер Linux версии 5.4, однако она будет по умолчанию выключенной. Это сделано из-за того, что данная функция может нарушить работу существующей системы.

Функция Lockdown позволит усилить разделение между пользовательскими процессами и кодом ядра, не допуская даже root-аккаунт к взаимодействию с кодом ядра. Раньше система позволяла это делать.

Основатель Linux Линус Торвальдс
Основатель Linux Линус Торвальдс

Будучи включённой, lockdown ограничит некоторый функционал ядра даже для root-пользователей, что затруднит скомпрометированным администраторским учётным записям доступ к остальной части ОС.

Торвальдс отметил: «При активации, различные части функционала ядра блокируются. К ним относятся ограничение доступа к функциям ядра, которые могут позволить исполнение произвольного кода через поддержку кода пользовательскими процессами. Блокирование процессов от чтения и записи памяти /dev/mem и /dev/kmem. Блокирование доступа к открытию /dev/port для предотвращения прямого доступа к портам. Усиление сигнатур модулей ядра и другие изменения».

Google анонсирует три новые функции приватной безопасности

Компания Google представила новые инструменты, которые позволяют повысить уровень приватности при пользовании фирменными сервисами: Google Maps, YouTube, and Google Assistant.

В Google Maps был внедрён режим инкогнито. При его включении на мобильном устройстве активность и история поиска не будут сохраняться в учётной записи и не будут использоваться для персонализации использования Maps. Этот функционал появится на Android в октябре, а на iOS он будет доступен позднее.

Для YouTube компания предлагает функцию автоудаления веб-данных и истории местоположения за желаемый период. «Устанавливайте период времени, в течение которого будут храниться ваши данные — 3 месяца, 18 месяцев или до ручного удаления», — сообщил представитель Google Эрик Мираглиа.

Настройка персональной активности Google
Настройка персональной активности Google

И, наконец, Google позволит очистить голосовые команды или запросы к Google Assistant без открытия приложения. Достаточно просто сказать: «ОК Google, удали последнее, что я сказал» или «удали всё, что я сказал на прошлой неделе». После чего данные будут удалены. К сожалению, если вы хотите удалить историю голосовых запросов за более длительный период, то вам придётся открыть настройки Google Assistant.

Также компания сообщила, что готовит новую функцию проверки пароля, сохранённого в менеджере паролей. Компания будет быстро проверять, скомпрометирован ли ваш пароль при прошлых утечках, используется ли он в различных учётных записях и не являются ли ваши пароли слишком простыми для взлома.

В Chrome выявлены мошеннические блокираторы рекламы

Многих людей раздражает реклама в Интернете, и они используют блокировщики рекламы. Но оказалось, что не все блокировщики выполняют свою работу по-честному.

Исследователи из Adguard выявили два расширения для браузера Chrome, которые используют названия, очень похожие на именитых блокировщиков, обманывая людей. Первое из этих расширений — uBlock by Charlie Lee, имело более 850 000 пользователей, а второе, AdBlock by AdBlock Inc — более 800 000.

Эти расширения удаляют рекламу с веб-страниц, посещаемых пользователями, однако исследователи обнаружили, что при этом применяется cookie stuffing — мошенническая схема подмены куки на стороне пользователя, которая генерирует прибыль разработчикам.

Поддельные блокировщики рекламы
Поддельные блокировщики рекламы

Безопасники выяснили, что через 55 часов после установки расширения отправляли запрос на URL для каждого нового посещённого пользователем домена. Таким образом они получали от сайтов партнёрские ссылки. В Adguard пояснили, что «этот новый ответ содержит список команд, которые должно выполнить расширение. После этого поведение расширений меняется, и они начинают делать еще несколько вещей, помимо блокировки рекламы».

Вся вина за произошедшее пала на Google, которая должна была удалить расширения. Но каковы масштабы бедствия?

Безопасники заявляют, что масштаб беспрецедентен. Эти два расширения имели более 1,6 миллиона «еженедельно активных пользователей», получавших дополнительные куки с более 300 вебсайтов, входящих в список Alexa Top 10000. Ущерб оценить сложно, но речь идёт о миллионах долларов ежемесячно.

Cloudflare выпустил бесплатный мобильный VPN 1.1.1.1 Warp

Интернет-гигант Cloudflare запустил в работу новые сервисы Warp и Warp+, которые станут дополнением к существующему сервису шифрования DNS.

Благодаря сервису шифрования доступа к DNS 1.1.1.1 пользователи мобильных платформ могли быть уверены, что никто не отследит посещаемый ими сайт. Благодаря новому сервису VPN, подключение становится полностью зашифрованным.

Новый VPN-сервис Warp заработал после длительного ожидания. По словам разработчиков, Warp ожидали порядка двух миллионов человек. Теперь он доступен всем желающим совершенно бесплатно.

Скриншот 1.1.1.1 Warp
Скриншот 1.1.1.1 Warp

Не обошлось и без платных возможностей. Сервис Warp+ обеспечивается сетью Cloudflare Argo, которая по словам компании, позволяет сайтам загружаться на 30% быстрее. Что касается стоимости — то она рассчитывается весьма необычно. Так, месячный тариф использования Warp+ составляет цену на один Big Mac в местной валюте. Кроме того, все, кто изъявил желание попробовать Warp до его готовности, получили по 10 ГБ бесплатного трафика в Warp+.

Что касается нашего опыта, то особой разницы в скорости между Warp+ и Warp мы не заметили.

Приложение 1.1.1.1 доступно для iOS и Android. Другие платформы Cloudflare обещает рассмотреть в будущем.

RivaTuner Statistic Server приводит к бану в онлайн-играх?

В Сети стали появляться сообщения о том, что пользователи RivaTuner Statistic Server, сталкиваясь с блокировками в видеоиграх, обвиняют во всём утилиту.

Один из участников Reddit с ником Rivelia сообщил, что, пользуясь RTSS (для контроля частоты кадров) и ReShade (для лучшего AA и HDR) в одной из игр от EA, он схлопотал бан от античитинговой системы EAC. Сама компания Electronic Arts не стала пояснять за что его заблокировали, сославшись на «торговый секрет». На основе этих данных пользователь связал свой бан именно с утилитой RTSS, а потому обратился к её автору Алексею «Unwinder» Николайчуку.

Алексей ответил Rivelia, подробно объяснив принцип действия античитинговой системы и непричастность любых OSD-утилит. Его пост мы и публикуем ниже:

Этот тред является хорошим примером, демонстрирующим, как рождаются мифы. Нет, это не RTSS. И нет, это не ReShade. Забаненные пользователи периодически связываются со мной, утверждая, что они использовали только RTSS и получили свой запрет из-за него, и просят меня помочь связаться с издателем игры или разработчиком античита, чтобы снять запрет. И нет, я не могу помочь таким пользователям, потому что это неправда, оверлеи никогда не являются причиной запретов.

Вы физически не можете говорить, что вы забанены из-за какого-либо оверлея, будь то RTSS, GFE или чего-то подобного, что перехватывает игру для отображения в OSD. Вы не можете говорить, что вы забанены из-за программного обеспечения для видеозахвата, такого как DXTory или OBS, которое также перехватывает игру для захвата кадров. Вы не можете говорить, что вы забанены из-за ReShade, который перехватывает игру, чтобы выделять кадры и применять к ним постобработку. Вы не можете утверждать, что работали только с таким абсолютно легитимным приложением, а затем неожиданно получили несправедливый бан со стороны EAC, и что подобное приложение стало причиной. Вы не можете этого сделать, потому что все современные античиты используют принцип отложенного запрета, и ВСЕГДА блокируют учётные записи за некоторые особые действия, которые были обнаружены и имели место в прошлом (от нескольких дней до нескольких недель назад). Если бы он немедленно запретил использование читов, разработчикам читов было бы намного проще отлаживать коммерческие средства обмана. Отложенный бан используется всегда, поэтому вы никогда не узнаете наверняка, что ваш чит является необнаружимым при его использовании или разработке. Таким образом, приложения, которые вы запускаете во время или непосредственно перед получением бана, никогда не являются его причиной.

Вы не можете принять, что вы, вероятно, использовали что-то законное, которое просто не занесено в белый список античитом, поэтому оно ложно вызвало запрет. Принцип белого списка разрешённого программного обеспечения в античитах не работает таким образом. Если программное обеспечение не занесено в белый список античита, это не значит, что оно вызовет запрет. Современные античиты, такие как EAC, просто не позволяют такому (то есть не внесённому в белый список) программному обеспечению взаимодействовать с игровым процессом (то есть подключать его и отображать наложение, захватывать видео или применять эффекты постобработки, как это делает Reshade). Он никогда не забанит вас, когда увидит что-то неизвестное, античиты не используют эвристику для применения запретов. Все неизвестное (то есть не в белом списке) просто изолировано от игрового процесса. Напротив, античит применяет запрет только, если видит какие-то модули из чёрного списка, введённые в игру (то есть что-то однозначно известное как связанное с обманом).

По этой причине политика использования античитов предполагает, что разработчики никогда не сообщают вам, что именно послужило причиной вашего бана, и никогда не сообщают, когда именно была обнаружена активность, связанная с мошенничеством. Поэтому попытки связаться с издателем игры, разработчиками античита или сторонними разработчиками никогда не увенчаются успехом. Единственным исключением, когда вы видите, что ваша учётная запись была ложно забанена и возвращена вам, является сбой в реализации античита. Но такие вещи лишь имеют место на начальных этапах запуска игры, приводят к массовым волнам ложных запретов, и расследуются разработчиками античита быстро, без непосредственного контакта с вами.

Кроме того, всегда имейте в виду, что античит также анализирует программное обеспечение, которое вы установили и которое запускаете на своём компьютере. Таким образом, наличие установленного чего-то вроде CheatEngine и его простая пассивная работа в фоновом режиме во время игры, защищённой от читов (даже если вы не пытаетесь использовать его для мошенничества в этой игре), может быть достаточным основанием для потери вашего аккаунта.

Подводя итог, вы ничего не можете сделать, связавшись с издателем игры или разработчиками EAC. Это никогда не сработает из-за античитинговой политики. Если ваш бан вызван ошибкой античита, то вы определённо не единственный, кто пострадал из-за него, и он будет обработан без вашего вмешательства. В противном случае, играйте честно, не загружайте и не устанавливайте ЛЮБЫЕ приложения, связанные с взломом / мошенничеством в игре (даже если вы планируете использовать их для другой игры), и вы в безопасности.

Тем не менее, сам Rivelia так и не сознался в читерстве, и считает, что его наказание несправедливо.

Firefox готовится внедрить DNS-over-HTTPS по умолчанию

Группа Mozilla тестирует технологию DNS-over-HTTPS в течение нескольких месяцев, сотрудничая в этом направлении с Cloudflare и Akamai. Получив необходимый опыт, Mozilla теперь готова к внедрению технологии по умолчанию.

В сборке Nightly Firefox технология DoH появилась в 2018 году, а в финальных сборках она стала доступна несколько месяцев назад. Сейчас её можно включить вручную. Целью работы было повышение интеграции с Firefox с DoH. Проведя эксперименты, разработчики смогли выявить и устранить возможные проблемы, не нарушив комфорт пользователей и работу промышленных сетей.

Логотип Mozilla Firefox

В результате было решено внедрять DoH в «выпадающем режиме». Это означает, что, если при использовании DoH не удастся получить доменное имя, Firefox вернётся к использованию DNS, указанному операционной системой. Также, если Firefox выявляет наличие родительского контроля или политики предприятия, Firefox отключит шифрованный доступ к DNS.

В Mozilla уже начинают постепенно подключать DNS-over-HTTPS в Firefox по умолчанию на территории США.

Google, Intel и Microsoft объединят усилия для повышения безопасности данных

Несколько крупнейших игроков IT-индустрии решили объединить усилия для создания консорциума, который должен обеспечить настоящую безопасность личных данных.

Google, Intel и Microsoft совместно с Alibaba, Arm, Baidu, IBM, Red Hat, Swisscom и Tencent создали организацию Confidential Computing Consortium (CCC).

Целью работы стало «определение и ускорение» полностью безопасных данных от начала до конца на основе открытого исходного кода, который обеспечит целостный процесс без необходимости оплаты конечным пользователем.

Как и стоит ожидать, хостером выступит The Linux Foundation, который уже включает Microsoft Trusted Execution Environments, а также инструменты от Red Hat и Intel.

Данные изменения могут не понравится некоторым правительствам, ведь даже в Великобритании ходят идеи о размещении бэкдоров в программные продукты, чтобы правительство имело к ним доступ.

Однако, новую разработку не стоит ждать в ближайшее время. Каждая компания будет разрабатывать свой продукт, а затем объединит его с другими, сформировав «полное» решение в области приватности.

Google удалила ещё 24 заражённых приложения из Play Store

Популярность операционной системы всегда оборачивается проблемами в сфере безопасности. Компания Google прикладывает много усилий по недопущению распространения вирусов в свой магазин приложений, однако недобросовестные разработчики иногда обходят системы защиты.

Учитывая распространённость ОС, объёмы инфицирования также оказываются огромными. Совсем недавно мы сообщали о заражении 100 000 пользователей Android. И вот опять компания Google удаляет 24 вредоносных приложения, суммарное количество заражений от которых достигло полумиллиона человек.

Google Play
Google Play

Зловред под названием Joker выявлен в составе 24 приложений, доступных на Google Play Store. Этот вирус собирает некоторую информацию о самом телефоне, просматривает SMS, информацию о контактах.

Вот список этих 24 приложений:

  • Advocate Wallpaper
  • Age Face
  • Altar Message
  • Antivirus Security – Security Scan (иронично!)
  • Beach Camera
  • Board picture editing
  • Certain Wallpaper
  • Climate SMS
  • Collate Face Scanner
  • Cute Camera
  • Dazzle Wallpaper
  • Declare Message
  • Display Camera
  • Great VPN
  • Humour Camera
  • Ignite Clean
  • Leaf Face Scanner
  • Mini Camera
  • Print Plant scan
  • Rapid Face Scanner
  • Reward Clean
  • Ruddy SMS
  • Soby Camera
  • Spark Wallpaper

Как видно, эти приложения «наследные», и многие люди загружают их, путаясь в названиях или ожидая украсить телефон или побаловаться с фотографиями. Если вы установили одно из этих приложений к себе в телефон, то лучше всего его удалить. Прямо сейчас.

В Google Play выявлен зловред со 100 миллионами загрузок

Исследователи из лаборатории Касперского сообщили об обнаружении вредоносной программы для Android под названием CamScanner, которая является «создателем PDF на телефоне и включает OCR».

Согласно отчёту, приложение CamScanner было честным, без подозрительной активности. Как и в прочих приложениях, в этом отображалась реклама и предлагались покупки. «Однако в какой-то момент всё изменилось, и свежая версия приложения поставлялась с рекламной библиотекой, содержащей вредоносный модуль».

В приложение был добавлен троян, названный лабораторией Trojan-Dropper.AndroidOS.Necro.n. Сам он не выполнял вредоносных функций, но загружал зловреды другого типа, включая те, что внедряют свою рекламу, подписываются на фейковые рассылки или воруют банковские данные. Раньше трояны подобного типа лаборатория выявляла «предустановленными в некоторых приложениях на китайских смартфонах».

Подозрительную активность заметили некоторые пользователи, о чём написали в комментариях к приложению, чтобы предупредить других пользователей. Разработчики исправили последнюю версию, исключив зловреда, однако Kaspersky отмечает, что для разных устройств версии сильно отличаются, а потому в некоторых случаях вредоносная активность ещё может проявляться.

Выявлены уязвимости в массе системных драйверов

Люди защищают свои компьютеры и телефоны антивирусами, полностью полагаясь на них и надёжность самих ОС. Но как оказалось, опасности таятся даже в драйверах, которые открывают компьютеры перед возможными атаками.

Исследователи из Eclypsium опубликовали отчёт, в котором показали, что крупнейшие компании, включая ASRock, ASUSTeK Computer, ATI Technologies (AMD), Biostar, EVGA, Getac, GIGABYTE, Huawei, Insyde, Intel, Micro-Star International (MSI), NVIDIA, Phoenix Technologies, Realtek Semiconductor, SuperMicro и Toshiba имеют систематические проблемы. Примечательно, что пока это не полный список, поскольку ряд компаний, уведомлённых о проблемах в их драйверах, пока не сумели их решить. Речь идёт о несанкционированном получении высоких привилегий процессами.

Screwed Drivers
Screwed Drivers

В исследовании Screwed Drivers говорится: «Особую озабоченность вызывает то, что рассматриваемые драйверы не были мошенническими или несанкционированными; на самом деле, как раз наоборот. Все драйверы поставляются доверенными сторонними поставщиками, подписаны действующими центрами сертификации и сертифицированы Microsoft. Microsoft и сторонние поставщики должны быть более бдительными в отношении этих типов уязвимостей в будущем».

Это значит, что все эти уязвимые драйверы были сертифицированы Microsoft, так что даже переустановка ОС никак не решит проблему.

По всей видимости, в ближайшее время пользователям будет предложен установить свежие версии драйверов, которые устранят уязвимости. К примеру, совсем недавно так уже поступила NVIDIA.