Новости про безопасность

Теперь пользователи Firefox Quantum будут получать уведомление в том случае, если посещаемый сайт недавно допустил утечку данных. Всплывающее сообщение будет содержать отчёт о природе и объёме уязвимости с возможностью перехода на сервис Firefox Monitor для уточнения деталей. Изменения будут доступны пользователям браузера постепенно в ближайшие недели.

Используя Firefox Monitor пользователи смогут проверить, был ли их электронный адрес частью утечки данных, сверяясь по базе HIBP. Этот сервис, после запуска в сентябре, получил заметную популярность, на него уже подписались сотни тысяч пользователей. На фоне популярности сервис получил интерфейс с 26 новыми языками.

Пользователи получат лишь однократное уведомление об утечке данных на посещаемом сайте, чтобы не раздражать людей. Также функционал можно отключить во всплывающем окне. Уведомление будет отображаться только в случае, если утечка произошла менее 12 месяцев назад.

Множество игровых компаний уже экспериментируют с блокчейном. У EA есть исследовательские проекты в этом направлении, а Ubisoft использует блокчейн для монетизации игр. Однако в Sony решили использовать блокчейн иначе — для защиты контента. Формально компания анонсировала новую систему DRM.

Пока Sony хочет использовать блокчейн для защиты образовательных материалов, подготовленных подразделением Global Education, однако позднее техника может быть применена к другим платформам, включая PlayStation Store и PlayStation Network, которые приносят компании миллиардные доходы.

На самом деле эта новость не сильно удивляет, поскольку ещё в мае компания разместила патент на DRM защиту с использованием блокчейна.

Возможно, DRM окажет меньшее воздействие на систему, но при этом даст больше безопасности. Sony PlayStation Network известна своей низкой безопасностью, особенно это ясно по примеру её падения при DDoS атаках прошлой зимой. Также не исключён вариант использования новой системы защиты в разрабатываемой PlayStation 5.

Первым уязвимость нашёл Себастиан Кастро из CSL. Эта техника направлена на один параметр в учётной записи пользователя Windows, известный как Relative Identifier (RID). Воспользовавшись уязвимостью, хакер может получить полный административный доступ к компьютеру.

Идентификатор RID — это код, добавляемый в конце идентификатора безопасности учётной записи (Security Identifier —SID), который описывает группу доступа пользователя. К примеру, для гостевой записи RID равен 501, а для администратора — 500.

Кастро установил, что изменение ключа в реестре, содержащего информацию об учётных записях, может модифицировать RID, и таким образом изменить уровень доступа определённого пользователя. Удалённо таких изменений провести нельзя, но если хакер доберётся до машины, он сможет изменить группу пользователя на администратора, а затем выполнить с машиной любое действие.

Кастро обратился к Microsoft, исправила ли она уязвимость, на что был получен отрицательный ответ. Атака работает на всех Windows начиная с XP и до 10, и от Server 2003 до Server 2016. Пока информации о том, что уязвимостью пользовались, нет.

Сама компания и её крупнейшие клиенты, среди которых Apple и Amazon, встали на защиту Supermicro. Но теперь Bloomberg вновь обвиняет производителя серверов.

На сей раз говорится об «имплантатах» в коннекторах Ethernet серверов Supermicro, которые были выявлены при инспекции своих ЦОД телекоммуникационными компаниями США. В отчёте говорится, что манипулирующая аппаратная часть была выявлена после того, как серверы Supermicro вели «необычную коммуникацию».

Микросхема была непосредственно выявлена экспертом в области безопасности Йосси Эпельбаумом, которого наняла одна из телекоммуникационных компаний. Эпельбаум привёл заказчикам подтверждающие документы, аналитику и прочие материалы несанкционированного аппаратного обеспечения. Правда, третьим лицам разглашать информацию он не имеет права, так что более подробных сведений нет.

Наши коллеги из CNET связались с американскими компаниями T-Mobile, Sprint и AT&T, которые ответили, что не имеют отношения к истории Bloomberg. Ещё одна компания, Verizon, просто отослала журналистов к Bloomberg со словами «Мы не причастны».

Дело в том, что в Google решили отозвать сертификаты безопасности выданные Symantec. Решение принято после того, были выявлены несоответствия инфраструктуры стандартам безопасной выдачи сертификатов у Symantec. Дело в том, что Symantec разрешил множеству компаний выпускать сертификаты, несмотря на явные нарушения безопасности внутри этих организаций.

Часть этих сертификатов Google уже отменила в июне 2016 года. Теперь, с релизом Chrome 70 любые сертификаты, выданные агентствами VeriSign, Thawte, Equifax и другими, окажутся недействительными.

Исследователь Скотт Хельме недавно провёл анализ сайтов, которые попадут под запрет. Оказалось, что в их число входят финансовые учреждения, например, Federal Bank of India, Penn State Federal, правительственные ресурсы Тель-Авива и даже сайт Ferrari.

При этом отмечается, что ограничения могут не затронуть некоторые субдомены, так что доступ может быть ограничен не ко всем сайтам, а лишь к некоторым их разделам.

Целью существования данного файла является автоматический подбор текста для предиктивного ввода. Благодаря ему система пытается выяснить ваш словарный запас и частый порядок используемых слов. Многие другие экранные клавиатуры работают также, но не все хранят информацию открыто. Файл WaitList.dat совсем не защищён, и он может быть скопирован за секунды. А ведь внутри могут лежать важные персональные данные, включая сведения о платёжных картах и пароли.

Уязвимость впервые выявил эксперт Digital Forensics and Incident Response Барнаби Скеггс. Он сообщил: «Текст из каждого документа и электронного письма, проиндексированного сервисом Windows Search Indexer, хранится в WaitList.dat. Не только файлы, с которыми взаимодействовали посредством написания на сенсорном экране».

Сам файл лежит по пути C:\Users\%user%\AppData\Local\Microsoft\InputPersonalization\TextHarvester.

Если вы озабочены безопасностью своих данных, то вам стоит удалить данный файл и отключить распознавание рукописного текста. В настоящее время нет сведений о том, что данный файл отправлялся в Microsoft, а также о том, что какое-либо вредоносное ПО использует данную особенность системы. В будущем же хотелось бы видеть патч от Microsoft, который добавит немного секретности к данным в файле WaitList.dat.

Провайдеры аттестатов позволяют входить в Windows 10 посредством паролей или биометрической аутентификации. Третьи разработчики могут создавать свои собственные провайдеры аттестатов и регистрировать их для использования в Windows 10. Оказывается, Google планирует зарегистрировать браузер Chrome в качестве менеджера аттестатов в Windows 10.

Опубликованный код Chromium предполагает, что пользователи смогут входить в Windows 10 через учётную запись в G-Suite. Вполне возможно, что поддерживаться будут обычные учётные записи Google.

Когда же Google выпустит функцию провайдера аттестата пока неизвестно. Сейчас проект находится на ранних этапах разработки.

Из-за установки поддельного приложения из Chrome Web Store, содержащего вредоносный код, пользователи потеряли свои данные учётных записей и ключи от криптокошельков.

Компания Mega дала ряд пояснений: «4 сентября 2018 года в 14:30 неизвестные злоумышленники загрузили в магазин Google Chrome троянскую версию расширения MEGA для Chrome версии 3.39.4».

Кроме Mega вредоносное расширение было нацелено на сайты, такие как Amazon, Live (Microsoft), Github и Google, перехватывая учётные записи пользователей. Также оно воровало приватные ключи от кошельков криптовалют, нацелившись на такие сервисы, как MyEtherWallet, MyMonero, и Idex.market.

В Mega добавили: «Если вы посещали любой из этих сайтов, или использовали другое расширение, отсылающее учтённые данные простым текстом по POST запросам, по прямому подчинению или через фоновый процесс XMLHttpRequest (MEGA в их число не входит), пока троянская версия была активна, учтите, что ваши учётные данные скомпрометированы через этот сайт и/или приложения».

Пока расследование показывает, что вся перехваченная информация была направлены на некий украинский сервер. Каким образом хакерам удалось получить доступ к учётной записи Mega в Chrome Web Store, компания пока не знает.

Отмечается, что «спустя 4 часа после выявления уязвимости, троянское расширение было обновлено Mega до чистой версии 3.39.5 с принудительным автообновлением».

И хотя этот опасный эксперимент выглядит очень странно, он подтверждает, что злоумышленники также создают свои зловреды, используя ИИ.

Обычный зловред может быть перехвачен и разобран, чтобы создать средство обнаружения. Однако понять методы работы нейронной сети невозможно.

Чтобы продемонстрировать возможный ущерб от слияния криминала с искусственным интеллектом, в IBM создали специальный инструмент DeepLocker. Этот инструмент скрывается в других приложениях до тех пор, пока не выявит свою жертву. И когда человек, против которого нацелен зловред, идентифицируется, зловред срабатывает.

Срабатывание инструмента происходит после идентификации жертвы по нескольким критериям. Это может быть визуальное или звуковое выявление, геолокация, системные события. При этом выявить все возможные триггеры практически невозможно, поскольку реверс-инжиниринг нейронной сети — вещь крайне сложная.

В проведенной демонстрации DeepLocker прятался в приложении для конференц-связи. С помощью ИИ его научили срабатывать при выявлении определённого лица. Как только в кадре появлялся нужный человек, зловред исполнял возложенную на него функцию — блокировал систему жертвы.

Проведенная IBM работа показала традиционную слабость искусственного интеллекта как «чёрного ящика», в который нельзя заглянуть и понять его работу.

Инфицированные приложения были выявлены в лаборатории Unit 42 Palo Alto Networks. Эта компания предупредила Google о приложениях, которые содержат исполняемые файлы, способные нанести вред Windows машинам.

Вы наверно озадачены, как вирус для Windows может навредить Android, ведь это абсолютно разные платформы. И вы правы — никак. Но зачем же хакерам атаковать несовместимые экосистемы? Дело в том, что это не была спланированная атака. Просто компьютеры, на которых создавались эти приложения были инфицированы, и, соответственно, все файлы, поступившие от них, также заражены.

В Unit 42 считают риск от подобной уязвимости крайне высоким. Разработка приложений является крайне важным этапом, и если на машинах разработчика не обеспечена должная безопасность, это может вылиться в огромные проблемы. Этот урок уже усвоили все, благодаря NotPetya, который распространялся, среди прочих путей, через заражённые обновления ПО. В данной ситуации всем просто повезло, что платформа вируса не совпала с платформой эксплуатации.