Давно у нас не было дайджеста в жанре сборной солянки, давайте попробуем выступить в нем. Тем более, за неделю подобралось немало интересных, но совершенно разноплановых новостей. Начнем с новой модификации известной атаки типа cold boot, в которой применяется натуральная заморозка микросхем оперативной памяти.


Оригинальная исследовательская работа по атакам этого типа была опубликована в 2008 году (вот PDF). Хотя считается, что при отключении питания данные из оперативной памяти мгновенно пропадают, это не совсем так. Даже при комнатной температуре и даже после удаления модуля памяти из материнской платы данные сохраняются в более-менее нетронутом виде несколько секунд.

Если же модуль охладить, то данные можно сохранить еще дольше — для анализа на том же компьютере, либо можно вообще переставить модули в другую машину. Охлаждение до –50 градусов (простым баллончиком со сжатым воздухом) дает еще 10 минут сохранности данных. Жидкий азот и охлаждение до –196 градусов замораживают информацию на час. Из памяти можно похитить множество секретов, в ряде случаев — даже ключи шифрования данных.
В ответ на исследование консорциум Trusted Computing Group внедрил систему принудительной перезаписи памяти при включении компьютера. Получается, как минимум ноутбуки с впаянными чипами RAM защищены от подобной атаки. На прошлой неделе стало понятно, что это не совсем так.

Когда ваш компьютер заражают криптолокером, если ваши пароли украл троян и мошенники угнали почту, если фишингом увели данные кредитки и сняли деньги — это все ужасно, но хотя бы понятно, что произошло и как с этим бороться. Антивирусом вычистить гадость, восстановить данные из бэкапа (если он, конечно, есть), перевыпустить карту. Гораздо хуже, если за вами тихо, не привлекая внимания, в течение долгого времени следят.


Обычно такая угроза актуальна для публичных персон, крупных компаний — в общем, в тех случаях, когда вы владеете реально ценной информацией. Или не только: кажется, киберпреступники среднего уровня тоже начинают пробовать играть в кибершпионаж. Исследователи из китайской команды 360 Netlab смогли идентифицировать как минимум 7500 роутеров Mikrotik, которые были взломаны и передавали проходящий через них трафик на серверы киберпреступников (новость). Учитывая, что это не единственная новость про атаки на роутеры вообще и Mikrotik в частности, сегодня попробуем разобраться, что произошло и что с этим делать.

В книге Нила Стивенсона «Криптономикон», про которую у нас в блоге был пост, описываются разные виды утечек информации по сторонним каналам. Есть практические, вроде перехвата ван Эйка, и чисто теоретические, для красного словца: отслеживание перемещений человека по пляжу на другой стороне океана, построение карты города по тому, как его жители преодолевают бордюрный камень на перекрестках (вот это сейчас можно реализовать акселерометрами, только бордюры везде спилили и переименовали в поребрики). Перехват Ван Эйка, впрочем, тоже сложная штука — реконструировать картинку на экране по электромагнитному излучению монитора непросто, особенно если не упрощать атакующему жизнь и не печатать в ворде огромные буквы.

21 августа ученые из университетов США и Израиля опубликовали работу, которая реализует похожую идею: как реконструировать картинку, отслеживая излучение монитора. Только в качестве побочного канала утечки данных они использовали довольно простой в обращении звук. С вами такое наверняка тоже случалось: стоит неаккуратно положить провода или же попадется неудачная комбинация из монитора и колонок — и вы начинаете слышать противный писк, который еще и меняется в зависимости от направления прокрутки текста мышью. Работа посвящена анализу такого звукового излучения. Ученым удалось «увидеть» на атакуемой системе крупный текст, идентифицировать посещаемый сайт и даже подсмотреть пароль, набираемый на экранной клавиатуре.

Учитывая другие открытия в сфере атак по боковым каналам, возможно, мы уверенно движемся к тому моменту, когда это направление исследований перевернет не только qdɐɓнǝvɐʞ, но и все наши представления о цифровой приватности.

Автор статьи — Алексей Маланов, эксперт отдела развития антивирусных технологий «Лаборатории Касперского»

Искусственный интеллект врывается в нашу жизнь. В будущем, наверное, все будет классно, но пока возникают кое-какие вопросы, и все чаще эти вопросы затрагивают аспекты морали и этики. Можно ли издеваться над мыслящим ИИ? Когда он будет изобретен? Что мешает нам уже сейчас написать законы робототехники, вложив в них мораль? Какие сюрпризы преподносит нам машинное обучение уже сейчас? Можно ли обмануть машинное обучение, и насколько это сложно?

Тот ловкий момент, когда ты написал пророческий дайджест. В прошлом выпуске речь шла о рисках безопасности в Android, в частности об уязвимостях типа Man-in-the-disk, а также о неспортивном (все ради денег) поведении компании Epic Games, отказавшейся размещать игру Fortnite в магазине Google Play. 25 августа пасьянс сошелся: Google с ее магазином, Epic Games с ее бета-версией Fortnite и даже man-in-the-disk-уязвимость вступили в интимную связь, породив среднего размера скандальчик.


Изначально речь шла о том, что технически неподкованные игроки в Fortnite, не найдя Android-версию в официальном магазине Google Play Store, пойдут искать ее куда-нибудь еще и установят на смартфон что-нибудь не то. Если сейчас со смартфона зайти в аппстор и поискать там Fortnite, Google даже покажет вам специальное сообщение, как на картинке наверху, чтобы вы не ставили из магазина приложения-клоны. Но, как выяснилось, инсталлятор Fortnite сам по себе уязвим — по сценарию не то чтобы совсем ужасному, но все же.

Автор статьи — Алексей Маланов, эксперт отдела развития антивирусных технологий «Лаборатории Касперского»

Недавно мы писали статью «Шесть мифов о блокчейне и Биткойне, или Почему это не такая уж эффективная технология», в которой рассмотрели, как из самой сути блокчейна вытекают неприятные свойства любого решения, на блокчейне построенного. Чтобы воодушевить фанатов модной технологии, следом мы написали статью-перевертыш «Почему блокчейн не такая уж и плохая технология», в которой рассмотрели те же самые свойства и ограничения блокчейна, но с иной точки зрения — как другие технологии пытаются их обойти.
Сегодня сфокусируемся на сферах применения блокчейна. На наш взгляд, во многих областях потенциал сильно преувеличен.

Давно мы что-то не писали про безопасность Android. В целом ситуация там вроде бы неплохая: таких серьезных проблем, как трехлетней давности баг Stagefright, пока не находили. С 2016 года развивается программа Android One, в которой устройства среднего уровня получают единую версию ОС и, соответственно, максимально быструю доставку обновлений безопасности. Скорость доставки апдейтов до традиционных вендоров тоже, по данным Google, ускорилась.

Но не то чтобы стало совсем хорошо. Недавно мы писали про необычный Android-смартфон, притворяющийся десятым айфоном, в котором какая-либо защита данных пользователя вовсе отсутствует. Но это экзотика. А вот компания Kryptowire проанализировала (новость) прошивки множества обычных смартфонов, которые продаются по всему миру. В 25 разных моделях были обнаружены серьезные прорехи в безопасности.

Black Hat — это конференция по информационной безопасности, исполненная в традиционном для индустрии жанре «вопросы без ответов». Каждый год в Лас-Вегасе специалисты собираются, чтобы поделиться своими последними достижениями, которые вызывают у производителей «железа» и разработчиков софта бессонницу и тремор рук. И не то чтобы это было плохо. Наоборот, оттачивать исскусство поиска проблем, будучи при этом на «светлой стороне», — это прекрасно!

Но все же есть на Black Hat некий внутренний конфликт. Нельзя же бесконечно твердить, что «с безопасностью все плохо, плохо, плохо», не предлагая ничего взамен. А стоит начать говорить о решениях — начинаются жалобы: и конференция уже не та, и скучно, и корпорации все скупили на корню. Решения — это и правда скучно, там и культуру написания кода надо применять, и организационные меры вводить, и тому подобное. А проблемы — это весело* и эффектно*! Сегодня — рассказ о веселых* и эффектных* проблемах с конференции Black Hat.

Не было на прошлой неделе новостей о инфобезопасности, достойных детального описания в дайджесте. Это не значит, что ничего не происходило — такая ситуация, кажется, и вовсе невозможна. Кого только не взломали. Что же, в качестве компенсации за предыдущий опус про теоретическую сетевую Spectre-подобную атаку сегодня речь пойдет о двух реальных атаках и одном цирке с конями при участии Джона Макафи.

Reddit взломали просто. То есть нет, не так. Reddit как довольно специфическое сообщество, и притом весьма популярное, наверняка подвергается абсолютно всем возможным типам кибератак и на самом деле довольно неплохо защищен. Этот вывод можно сделать как из абсолютно честного рассказа о недавней успешной атаке, так и из того факта, что в прошлом таких рассказов, кажется, не было. Атака была сложной, но описать причину успешного взлома легко: обошли двухфакторную аутентификацию.

Опять! Всего две недели назад мы рассказывали о новых вариантах атаки Spectre, использующих метод спекулятивной записи. Самая важная новость прошлой недели снова посвящена семейству Spectre, и теперь все гораздо круче. Исследователи из Технического университета города Грац в Австрии нашли способ извлекать данные по стороннему каналу удаленно, отсюда название атаки.

Хотелось бы сказать, что атака NetSpectre не требует выполнения какого-либо кода на атакуемой системе (в отличие, например, от браузерной атаки на JavaScript), но это не совсем так. В контексте NetSpectre «кодом» оказывается рутинная работа с другими компьютерами по сети, которую атакующий напрямую не контролирует, но может на нее влиять. Впечатляет именно возможность удаленного детектирования микроскопической разницы между разными режимами работы процессора. Как в случае с другими исследованиями по Spectre, работа носит (пока) теоретический характер, а новая атака отличается невероятно медленной скоростью извлечения данных: единицы бит в минуту. Обзор новой атаки (человеческим языком) опубликован здесь, хотя все равно лучше читать оригинальное исследование.

19 июля издание Motherboard опубликовало интересный лонгрид про поддельный айфон стоимостью в сто долларов. Android-смартфон, мимикрирующий под iPhone X, был приобретен в Китае; он из тех, что и у нас редко попадаются, а на Западе вообще неизвестны — целевая аудитория не та. Подделка не то чтобы качественная, но старательная, начиная с коробки и заканчивая иконками. Сфотографированный в темноте, телефон и правда можно спутать с оригиналом.

Естественно, когда начинаешь его использовать, все становится ясно. Телефон не очень быстр, из-под Apple-подобного интерфейса выскакивают сообщения о том, что «сервисы Google прекратили работу». Копия продвинутой системы распознавания лиц разблокирует смартфон от любого лица и похожего на лицо предмета, а скругленные края дисплея и площадка с сенсорами и динамиком эмулируются (!) программно. Журналисты Motherboard обратились к специалистам с просьбой оценить безопасность смартфона, и те нашли там, если переводить буквально, какую-то «дичь». Спойлер: никакой дичи там нет, просто много безответственного кода, показывающего, что в дешевом смартфоне данные пользователя тоже защищены на три копейки.

Не хочется писать о Spectre, а надо: на прошлой неделе это однозначно самая важная новость. Новые варианты уязвимости Spectre, как и исходные, показаны представителями академического сообщества. Научный сотрудник Массачусетского технологического института Владимир Кирьянский и независимый эксперт Карл Вальдспургер показали две новые модификации Spectre, названные, без затей и логотипов, Spectre 1.1 и Spectre 1.2 (новость, оригинальная научная работа).

Важные отличия от исходной уязвимости Spectre в обоих случаях заключаются в использовании механизма спекулятивной записи. В случае Spectre 1.1 атака теоретически позволяет вызвать (тоже спекулятивное) переполнение буфера и прочитать «запрещенный» участок памяти. Spectre 1.2 обеспечивает возможность перезаписи доступной только для чтения информации и теоретически позволяет провести атаку типа sanbox escape, обойдя аппаратные системы защиты. За обнаружение уязвимости исследователи получили сто тысяч долларов в рамках программы bug bounty компании Intel, и на сегодняшний день это одна из самых крупных выплат. Уязвимости подвержены процессоры Intel, ARM и, вероятно, процессоры AMD.

Не откажем же себе в удовольствии пришить друг к другу белыми нитками два произошедших на прошлой неделе события. Во-первых, в самых современных телефонах Samsung Galaxy обнаружились неполадки с отправкой сообщений. Во-вторых, индексация публичных документов с приватной информацией из сервиса Google Documents поисковиком Яндекс обсуждалась далеко за пределами компьютерной тусовки.

У этих происшествий есть кое-что общее: и отсутствие какой-либо новизны для опытного читателя новостей о безопасности, и не очень конкретная реакция разработчиков устройств и сервисов. Но главное — отсутствие четких рекомендаций, как обезопасить свои личные данные, раз уж такое произошло. В общем, есть все поводы снова поговорить об ответственности пользователей и поставщиков услуг, приватности и сложности современных технологий.

Люблю читать научные работы, исследующие компьютерные уязвимости. В них есть то, чего индустрии инфобезопасности часто не хватает, а именно — осторожности при формулировке определенных допущений. Это достоинство, но есть и недостаток: как правило, практическая польза или вред от свежеобнаруженного факта неочевидны, слишком уж фундаментальные феномены подвергаются исследованию. В этом году мы немало узнали о новых аппаратных уязвимостях, начиная со Spectre и Meltdown, и обычно эти новые знания появляются в виде научной работы. Качества этих аппаратных проблем соответствующие: им подвержены целые классы устройств, их трудно (а то и вовсе невозможно) полностью закрыть софтовой заплаткой, потенциальный ущерб тоже непонятен. Да что там говорить, иногда сложно понять, как они вообще работают.

Примерно так выходит с уязвимостями класса Rowhammer. Четыре года назад была обнаружена принципиальная возможность изменить «соседний» бит в модуле оперативной памяти регулярными операциями чтения/записи. С тех пор появились новые исследования, показывающие, как применить эту особенность плотно упакованных чипов памяти для практических атак. На прошлой неделе сборная команда ученых из разных стран показала практическую атаку на Android-смартфоны RAMpage (новость, исследование). Насколько эта атака реально опасна? Попробуем разобраться (спойлер: пока непонятно).

На прошлой неделе компания Juniper Research в исследовании рынка Интернета вещей спрогнозировала двукратный рост количества таких устройств к 2022 году (новость). Если сейчас аналитики оценивают число активных IoT в 21 миллиард, то через четыре года их количество превысит 50 миллиардов.

В том же отчете утверждается, что до настоящего, повсеместного внедрения IoT (в промышленности и бизнесе) мы еще не дожили: сейчас приоритет все же отдается более тупым традиционным решениям. Появления реально больших (сто тысяч и более) инфраструктур IoT придется подождать, но недолго. В отчете не уделяется внимание безопасности, но про нее достаточно актуальных новостей, вторую неделю подряд.

Прошедшая неделя отметилась парой интересных новостей из небезопасного мира интернет-вещей, а главным событием, конечно, стало исследование умного замка Tapplock (новость, оригинальный отчет). Исследователь из Pen Test Partners Эндрю Тирни не просто обошел защиту электронного замка, а скорее обнаружил полное отсутствие какой-либо системы безопасности в «цифровой» части устройства.

Приглашаем вас на очередную встречу C++ User Group, которая пройдет 28 июня в рамках нашей event-платформы CoLaboratory. В прошлый раз мы обсуждали перформанс и Clang Static Analyser. Теперь поговорим о наболевшем: как избавиться от legacy-кода? Как избежать его образования в дальнейшем? Какие сложности возникают при апгрейде протокола взаимодействия, и как с ними справиться?

7 июня компания Adobe закрыла критическую уязвимость в Flash Player (новость, сообщение компании). Уязвимость CVE-2018-5002 обнаружена сразу несколькими исследовательскими командами из Китая — речь идет об удаленном выполнении произвольного кода в результате ошибки переполнения буфера. Это уязвимость нулевого дня: на момент обнаружения она уже использовалась в целевых атаках на Ближнем Востоке. Эта достаточно серьезная проблема воспринимается как рутинная новость просто из-за названия пострадавшего продукта: ну кого уже может удивить RCE во флеше?

Только в нынешнем году это уже вторая критическая уязвимость нулевого дня, первую срочно закрывали в феврале. Adobe Flash вообще стал образцовым примером небезопасного софта, он стабильно находится в топе самых часто атакуемых приложений, причем не покидает этот рейтинг годами. Он по-прежнему распространен у пользователей, несмотря на многолетние попытки заменить его объективно более эффективными технологиями. Независимо от отношения к технологии, Flash стал неотъемлемой частью истории Интернета. При помощи пары ссылок и одного графика попробуем посмотреть на Flash с точки зрения безопасности и не только.

Представьте, что светлое будущее информационных технологий наступило. Разработаны и повсеместно внедрены технологии разработки безопасного кода. Наиболее распространенный софт чрезвычайно сложно взломать, да и нет смысла: самые интересные данные вообще хранятся в отдельном, полностью изолированном программно-аппаратном «сейфе». Взломать чью-нибудь почту, подобрав простой пароль, воспользоваться намертво «зашитым» админским доступом к роутеру уже не получается: практики разработки и качественный аудит сводят вероятность появления таких «простых» уязвимостей почти к нулю.

Положит ли этот (маловероятный) сценарий конец кибератакам? Вряд ли, они просто станут дороже. Нетривиальные методы взлома, которые в настоящее время попросту не нужны (есть способы добыть нужную информацию гораздо проще), станут востребованы. Тот же Spectre — это ведь набор уязвимостей, которые крайне сложно употребить для чего-то реально полезного вредного. Но если выбора нет, подойдут и такие способы. Сегодня — два свежих примера нетривиальных атак: акустический DoS жестких дисков и кража картинок из Фейсбука через CSS.

Представьте себе на минуту идеальный мир, в котором все ваши данные хранятся в облачной системе, в зашифрованном виде, и доступ к этому хранилищу имеете только вы. «Учетная запись» используется для синхронизации данных на домашнем ПК, смартфоне и планшете. Для доступа к файлам, сообщениям мессенджера и почтовой переписке требуется дополнительное согласие владельца. Еще более строго ограничивается доступ к вашим данным со стороны третьих лиц и компаний. Одной большой красной кнопкой можно отключить доступ сразу всем сторонним сервисам. Социальные сети теперь обязаны каждый раз запрашивать ваше разрешение на использование данных для таргетирования рекламных объявлений. Законодательно закреплен и поддержан технологиями режим инкогнито, когда компаниям прямо запрещено отслеживать вашу активность — для любых целей. Стоимость персональных данных растет и становится публичной: желающим свободно делиться своими данными предлагают солидные компенсации. За персональное хранилище данных тоже приходится платить, но гораздо меньше.

Ничего из вышеперечисленного НЕ произошло 25 мая, когда официально вступили в силу нормы европейского регламента о защите данных (General Data Protection Regulation). «День GDPR» по идее должен был пройти незаметно для большинства: это же законодательство, юридические тонкости и прочее. Но сказалась как сложность новых принципов защиты персональных данных, так и традиционное человеческое раздолбайство. Результат могли наблюдать все пользователи Интернета в своих почтовых ящиках. Обычно происходило это с комментарием: «Никогда бы не подумал, сколько компаний владеют информацией обо мне». Массово рассылая обереги от гнева европейских бюрократов, становятся ли компании ответственнее при обработке персональных данных? Пока скорее нет, чем да, но есть и позитивные примеры.