IT Дайджест / IT Новости / IT / Технологии

Signal исправил 6-летний баг хранения ключей шифрования в открытом тексте #Signal Разработчики мессенджера Signal решили наконец повысить безопасность версии приложения для десктопов. В частности, девелоперы поменяли способ хранения ключей шифрования, за что их критиковали с 2018 года. Ранее при установке Signal на Windows- или macOS-устройства мессенджер создавал зашифрованную SQLite-базу для хранения сообщений пользователя. Эта БД шифровалась с помощью ключа, сгенерированного программой, без пользовательского ввода. Чтобы программа могла расшифровывать базу и использовать её для хранения данных, нужен ключ шифрования. В случае с логикой работы Signal ключ хранился в виде простого текста в локальном файле по пути «%AppData%\Signal\config.json» в Windows и «~/Library/Application Support/Signal/config.json» — в macOS. Проблема в том, что если Signal может получить доступ к этому файлу с ключом, любая программа в системе тоже способна до него добраться. Другими словами, шифрование БД лишено всякого смысла, ведь любой софт может её расшифровать. Сначала Signal всячески пытался преуменьшать значение этого бага. Например, один из разработчиков писал: «Ключ от БД и не задумывался как нечто закрытое. Шифрование при хранении никогда не упоминалось в качестве функциональности десктопной версии Signal». Однако девелоперы, судя по всему, пересмотрели своё отношение после одного из твитов Илона Маска, в котором миллиардер указывал на уязвимость в мессенджере. Своё недоумение также высказывали исследователи в области кибербезопасности — например, Томми Миск. Теперь, по словам разработчиков, они имплементировали поддержку Electron safeStorage. Нововведение скоро должно появиться в бета-версии Signal. LH | Новости | Курсы | Мемы

От диджея до главаря хакеров: лидер JabberZeus осужден в США #Zeus #IcedID #Malware Минюст США приговорил Вячеслава Пенчукова к тюремному заключению и обязал выплатить $73 миллиона в качестве возмещения ущерба за участие в двух крупных схемах распространения вредоносного ПО. О решении суда сообщает Wired. Вячеслав Игоревич Пенчуков («Tank»), в прошлом известный DJ, более 10 лет находился в списке самых разыскиваемых преступников ФБР. Уже в 2010 году, когда сотрудники ФБР совершили обыск в его квартире, Пенчуков исчез. Криминальная деятельность Пенчукова прекратилась в конце 2022 года, когда он был арестован в Швейцарии и экстрадирован в США. 37-летний Вячеслав Игоревич Пенчуков в феврале признал свою вину по обвинениям, связанным с деятельностью по управлению банковским вирусом Zeus в 2010-х годах в составе группы JabberZeus и программой IcedID (Bokbot). Суд приговорил Пенчукова к двум одновременным 9-летним тюремным срокам и 3-м годам условного освобождения под надзором, а также обязал выплатить $73 миллиона в качестве возмещения ущерба. Оба обвинения могли повлечь за собой до 20 лет лишения свободы каждое, но благодаря сделке о признании вины наказание оказалось мягче. Условия сделки остаются неясными. Пенчуков признался, что с 2009 года был одним из лидеров группировки JabberZeus. Группа использовала вредоносное ПО Zeus для заражения компьютеров и кражи банковских данных. Киберпреступники входили в аккаунты и отправляли деньги подставным лицам, которые затем обналичивали средства, что привело к краже десятков миллионов долларов у малых предприятий в США и Европе. Пенчуков также признался в ключевой роли в организации распространения вредоносного ПО IcedID (Bokbot), которое собирало финансовые данные жертв и позволяло развертывать программы-вымогатели на системах. Пенчуков участвовал в распространении IcedID с ноября 2018 года по февраль 2021 года. Следователи обнаружили, что он вел таблицу, в которой были указаны доходы IcedID в размере $19,9 миллиона за 2021 год. С начала 2009 года группа JabberZeus добавила в свою систему мгновенные сообщения Jabber, что позволило операторам немедленно реагировать на компрометацию и начинать мошеннические действия автоматически. Позже группа разработала ботнет Gameover Zeus и перешла к созданию одних из самых разрушительных программ-вымогателей последнего десятилетия. В 2010 году ФБР и другие правоохранительные органы идентифицировали Пенчукова и других членов группы, анализируя их сообщения в Jabber, захваченные с сервера в США. В одном из сообщений Tank рассказал о своей дочери, что позволило определить его личность. В ноябре 2022 года Пенчуков был арестован в Женеве, Швейцария, во время поездки для встречи с женой. С тех пор, как группа Zeus достигла своего пика, их модель банковского мошенничества снизилась в значимости. Основной тактикой киберпреступников стало использование программ-вымогателей и вымогательство данных с помощью криптовалют для отмывания денег, что принесло им более $1,1 миллиарда в 2023 году. LH | Новости | Курсы | Мемы

Новый баг в Exim позволяет обойти защиту от опасных вложений #cve Более 1,5 млн серверов, на которых работает агент пересылки сообщений Exime, уязвимы перед новым критическим багом. С помощью этой проблемы злоумышленники могут обойти защиту и доставить в почтовые ящики пользователей вложения, которые устанавливают приложения или выполняют произвольный код. Как предупредили разработчики, все версии Exim (до 4.97.1 включительно) подвержены критической уязвимости CVE-2024-39929, которая получила 9,1 балла по шкале CVSS. Этот баг позволяет атакующим обойти защиту, которая обычно предотвращает отправку опасных вложений. Фактически такие защитные механизмы являются первой линией обороны от вредоносных писем, предназначенных для установки малвари на устройства конечных пользователей. Специалисты компании Censys предупреждают, что среди более чем 6,5 млн почтовых SMTP-серверов, обнаруженных в ходе интернет-сканирования, 4,8 млн работают под управлением Exim. При этом более 1,5 млн серверов (примерно 31%) уязвимы перед свежей проблемой. CVE-2024-39929 связана с тем, как Exim парсит многострочные заголовки, описанные в RFC 2231. Злоумышленники могут использовать этот баг для обхода блокировки конкретных расширений и добавлять исполняемые вложения в свои письма, отправляемые конечным пользователям. С учетом того, что для срабатывания атаки пользователь должен кликнуть на вложенный исполняемый файл,  уязвимость в Exim не так серьезна, как проблема CVE-2019-10149, которая массово эксплуатировалась хакерами с 2019 года. Однако социальная инженерия по-прежнему остается одним из самых эффективных методов атак, поэтому администраторам рекомендуется применить исправление, которое уже доступно в составе Release Candidate 3 Exim 4.98. LH | Новости | Курсы | Мемы

Рекордные выплаты за баги: Google объявляет новые суммы вознаграждений #Google #BugBounty Google объявил о повышении выплат за найденные уязвимости в своих системах и приложениях. Поскольку системы компании стали более защищёнными, и теперь требуется гораздо больше времени на обнаружение ошибок, Google решил увеличить некоторые выплаты в 5 раз. В рамках программы Vulnerability Reward Program (VRP) теперь можно получить до $151 515 за одну выявленную ошибку безопасности. Сумма включает в себя $101 010 за RCE-уязвимость в наиболее чувствительных системах компании, умноженные на коэффициент 1,5 за исключительное качество отчёта. Все обнаруженные уязвимости будут рассматриваться в соответствии с новыми правилами выплат. Помимо увеличения сумм вознаграждений, Google расширил возможности получения выплат, включив возможность получения денег через платформу Bugcrowd. В обновлённом разделе правил Google VRP можно найти подробную информацию о новых суммах вознаграждений и структуре выплат. Примеры новых выплат: • Уязвимость логики, приводящая к захвату аккаунта @gmail.com: $75 000 (ранее $13 337); • XSS-уязвимость на idx.google.com: $15 000 (ранее $3 133.7); • Ошибка логики, раскрывающая личную информацию на home.nest.com: $3 750 (ранее $500). На прошлой неделе Google запустила новую программу вознаграждений kvmCTF, целью которой является улучшение безопасности гипервизора Kernel-based Virtual Machine (KVM). За полное выполнение VM-эксплойта в гипервизоре KVM предлагается награда в размере $250 000. С момента запуска программы VRP в 2010 году Google выплатила более $50 миллионов исследователям безопасности, которые сообщили о более 15 000 уязвимостей. За прошлый год Google выплатила $10 миллионов, при этом самая большая награда составила $113 337. Самая высокая награда в истории VRP в размере $605 000 была выплачена исследователю gzobqq в 2022 году за серию из 5 уязвимостей в цепочке эксплойтов для Android. Этот же исследователь сообщил о другой критической цепочке эксплойтов для Android в 2021 году, получив выплату в $157 000. LH | Новости | Курсы | Мемы

Хакеры эксплуатировали уязвимость Windows MSHTML больше года #cve #0day #Windows На этой неделе компания Microsoft устранила 0-day уязвимость в Windows. Как теперь сообщили эксперты Check Point, эта проблема активно использовалась хакерами в атаках на протяжении 18 месяцев и применялась для запуска вредоносных скриптов в обход встроенных средств защиты. Уязвимость CVE-2024-38112 представляет собой проблему типа platform spoofing в Windows MSHTML. Эту проблему обнаружил специалист Check Point Research Хайфей Ли (Haifei Li) и уведомил о ней Microsoft в мае 2024 года. При этом в своем отчете о проблеме Ли отмечает, что образцы малвари, эксплуатирующей этот недостаток, были обнаружены еще в январе 2023 года. По словам исследователя, злоумышленники распространяют файлы Windows Internet Shortcut (.url) для спуфинга легитимных файлов (например, PDF) и таким образом загружают и запускают в системе жертвы HTA-файлы для установки малвари, ворующей пароли. Файл Internet Shortcut представляет собой простой текстовый файл, содержащий различные настройки конфигурации, например, какую иконку показывать, какую ссылку открывать при двойном клике и так далее. При сохранении в формате .url и двойному клику по такому файлу, Windows откроет конкретный URL-адрес в браузере по умолчанию. Однако злоумышленники обнаружили, что могут вынудить открыть указанный URL через Internet Explorer, используя mhtml:. MHTML — это MIME Encapsulation of Aggregate HTML Documents, то есть технология, представленная еще в Internet Explorer, которая превращает всю веб-страницу, включая изображения, в единый архив. И если URL-адрес запускается с помощью mhtml:, Windows автоматически открывает его в Internet Explorer вместо браузера по умолчанию. По словам известного ИБ-эксперта Уилла Дорманна (Will Dormann), открытие страницы в Internet Explorer дает хакерам дополнительные преимущества, поскольку при загрузке вредоносных файлов пользователь видит гораздо меньше предупреждений об опасности. LH | Новости | Курсы | Мемы

Телеграм-боты доставляют пользователям СМС-стилеры для перехвата кодов 2FA #C2 #Malware #Telegram Специалисты Positive Technologies предупреждают об активности киберпреступников, использующих Telegram в качестве командного центра (C2). В частности, исследователи выявили в мессенджере более тысячи ботов, использующих СМС-стилеры для перехвата кодов аутентификации. Как отмечают в Positive Technologies, телеграм-боты имеют индонезийское происхождение. Статистика по регионам, в которых вредонос был загружен на устройство, говорит о том, что атакующие охотятся в том числе на жителей России и Белоруссии. Эксперты выделили два вредоноса — SMS Webpro и NotifySmsStealer, которые и стали основой киберпреступной кампании. Для написания троянов использовались шаблоны, что облегчило операторам работу. SMS Webpro и NotifySmsStealer делят один код на двоих, различаются только C2-серверы, формат и содержание сообщений в Telegram. Правда, NotifySmsStealer чуть более функционален: он похищает информацию не только из сообщений, но и из пуш-уведомлений. Как правило, жертва получает сообщение с вложенным файлом APK. Не обращая внимания на расширение, пользователь скачивает этот файл, в результате чего на его мобильное устройство устанавливается СМС-стилер. Задача последнего — перехватывать коды аутентификации, которые откроют злоумышленникам доступ к банковскому аккаунту жертвы. Пока в России и Белоруссии встречались только единичные случаи заражения, а основная масса пришлась на жителей Индонезии. LH | Новости | Курсы | Мемы

Шпионское ПО нацелилось на iPhone в 98 странах #Apple #spy #Pegasus Apple снова предупреждает пользователей iPhone об угрозе шпионского ПО. Компания разослала уведомления владельцам устройств в 98 странах мира, сообщая о потенциальных атаках наемного шпионского программного обеспечения. Подобная кампания проводится уже второй раз в этом году - в апреле аналогичные предупреждения получили пользователи в 92 странах. По данным TechCrunch, в сообщении компания предупреждает пользователей о попытке удаленного компрометирования их iPhone, связанного с конкретным Apple ID. Apple подчеркивает, что атака, вероятно, направлена на пользователя из-за его личности или деятельности, и призывает отнестись к предупреждению серьезно. С 2021 года технологический гигант регулярно отправляет такие уведомления, охватив пользователей более чем в 150 странах. Последняя волна предупреждений вышла в среду, но Apple не раскрывает ни личности атакующих, ни конкретные страны, где пользователи получили уведомления. Среди получателей последних предупреждений оказались и пользователи из Индии. В октябре Apple уже отправляла подобные уведомления нескольким индийским журналистам и политикам. Позже правозащитная организация Amnesty International обнаружила на iPhone известных индийских журналистов следы Pegasus - крайне инвазивного шпионского ПО, разработанного израильской компанией NSO Group. Apple отмечает, что не может раскрывать дополнительные подробности о методах выявления угроз, так как это может помочь злоумышленникам избежать обнаружения в будущем. Интересно, что компания изменила формулировку в своих сообщениях: теперь вместо «атак, спонсируемых государством» используется термин «атаки наемного шпионского ПО». LH | Новости | Курсы | Мемы

Аудитория более 1000? Роскомнадзор хочет знать вас лучше 👮‍♀️ #Роскомнадзор #spy Владельцам аккаунтов в социальных сетях, чья ежедневная аудитория превышает 1 тысячу человек, возможно, предстоит передавать свои данные в Роскомнадзор. Такая инициатива обсуждается в ведомстве, сообщает ТАСС со ссылкой на пресс-службу Роскомнадзора. По действующему законодательству, информация, распространяемая без использования СМИ, должна включать в себя достоверные сведения о ее обладателе или распространителе в форме и объеме, достаточном для его идентификации. Как отметили в ведомстве, это требование распространяется на персональные страницы пользователей соцсетей, но в большинстве случаев не исполняется. Поэтому сейчас рассматривается возможность уточнения правил, чтобы обязательство касалось только тех пользователей, чья ежедневная аудитория превышает 1 тысячу человек. Согласно новой инициативе, такие пользователи будут обязаны сообщать в Роскомнадзор свои ФИО и контактные данные для направления юридически значимых сведений, пояснили в пресс-службе регулятора. Важно отметить, что речь идёт не о регистрации в ведомстве, а лишь об уведомлении Роскомнадзора о том, что владелец аккаунта занимается распространением информации. Кроме того, инициативой предусмотрено, что российским компаниям будет запрещено размещать рекламу на публичных страницах, владельцы которых не уведомили Роскомнадзор о своей деятельности. В Роскомнадзоре также подчёркивают, что анонимность в интернете часто используется злоумышленниками. Они создают фейковые аккаунты в мессенджерах и соцсетях, регистрируя их на сим-карты без установленного владельца. Такие аккаунты часто распространяют фейки, призывы к насилию, вовлекают детей в противоправные действия и другие запрещённые сведения. С начала 2024 года, благодаря взаимодействию Роскомнадзора с администрациями российских соцсетей «ВКонтакте», «Одноклассники», «МойМир» и RuTube, было удалено или заблокировано 13,5 тысячи материалов с детской порнографией, 5,8 тысячи материалов с суицидальным контентом и 5,7 тысячи материалов с пронаркотическим содержанием. В ведомстве отметили, что онлайн-платформы сегодня часто выполняют роль СМИ для россиян. Анонимность распространителей контента несёт опасность: экстремистские сообщения могут вызвать серьёзные последствия, а недостоверная информация способна нанести вред как отдельным людям, так и безопасности государства. Поэтому важно, чтобы сведения о пользователях, распространяющих информацию в соцсетях или мессенджерах, были известны. LH | Новости | Курсы | Мемы

В первом полугодии 2024-го число DDoS-атак составило 1 209 828 #DDoS Исследователи в области кибербезопасности отмечают рекордный рост DDoS-атак в пером полугодии 2024-го: общее число таких инцидентов перевалило за миллион (1 209 828). Как подчёркивают специалисты компании DDoS-Guard, 2024 год может поставить рекорд, поскольку за весь 2022-й было зафиксировано 1 255 573 DDoS-атак. На выложенной аналитиками инфографике видно, что пока наибольшее число таких кибернападений пришлось на июнь. Просадки наблюдались в феврале и апреле. Один из самых мощный всплесков вредоносного трафика эксперты зафиксировали в начале года — 350 млн пакетов в секунду. В 2022 году Microsoft отразила атаку сопоставимой мощности, но тогда это считалось рекордом. Подавляющее большинство DDoS-атак затрагивают веб-приложения: например, на этом уровне отмечается в 3-4 больше вредоносного трафике, чем на сетевом и транспортном уровнях модели OSI. Тем не менее последние продемонстрировали новый тренд — DDoS по протоколу GRE. За считаные минуты поток трафика злоумышленников разгоняется до 600 гигабит в секунду. LH | Новости | Курсы | Мемы

Один смартфон в секунду: новая фабрика Xiaomi будет работать без людей #Xiaomi Гендиректор Xiaomi Лэй Цзюнь объявил о скором открытии нового завода по производству смартфонов в районе Чанпин, Пекин. Также был опубликован видеообзор, раскрывающий детали и возможности фабрики. Одна из самых впечатляющих особенностей нового завода – его способность работать круглосуточно без участия людей, представляя собой так называемую «тёмную фабрику». Машины здесь могут не только взаимодействовать друг с другом, но и обеспечивать полное отсутствие пыли, используя технологии удаления частиц на микронном уровне. Контроль за качеством продукции будет осуществляться интеллектуальными машинами, разработанными самой компанией. Утверждается, что производственный процесс способен производить один смартфон в секунду. На развитие нового производственного процесса было вложено 2,4 млрд. юаней (около 330 млн. долларов). Завод в Чанпине занимает площадь в 81 000 м2 и уже получил статус «национального образцового предприятия умного производства». Годовая производственная мощность составит 10 миллионов флагманских смартфонов. Здесь будут производиться новые складные модели – Xiaomi MIX Fold 4 и Xiaomi MIX Flip. Автоматизация производства – не новинка для Xiaomi. Умная фабрика в Ичжуан, Пекин, была введена в эксплуатацию еще в 2019 году. Производство первого складного смартфона Xiaomi Mix Fold осуществлялось на первой фазе умной фабрики в Ичжуан. LH | Новости | Курсы | Мемы