28 мая в 19:00 в нашем московском офисе пройдет четвертая встреча специалистов по кибербезопасности АСУ ТП.

Нелегкая выдалась неделя для средств обмена зашифрованными сообщениями. Средства как бы работали, но то в одном найдут дыру, то в другом еще какую проблему. Все началось в понедельник, когда группа европейских исследователей анонсировала серьезные уязвимости в ряде почтовых клиентов, поддерживающих шифрование по стандартам OpenPGP или S/MIME (новость). Анонсировала, поделилась информацией с особо важными людьми «под эмбарго»: в мире уязвимостей так делают, чтобы попавшие под раздачу вендоры смогли, например, выпустить патч. А еще — чтобы «особо важные люди» высказались в пользу важности и нужности исследования в публичном порядке.

Но что-то пошло не так, и вместо вторника пришлось обнародовать информацию в тот же понедельник (судя по всему, в Твиттере пошло обсуждение и начали раскрываться детали). Для двух опубликованных сценариев атаки наличие своего бренда (Efail), логотипа и веб-странички выглядит странно, но, впрочем, ладно. Оба метода атаки эксплуатируют встроенный в почтовые клиенты просмотрщик сообщений в виде веб-страниц. В сообщение перед зашифрованными текстом вставляется битый тег img — так, чтобы на сервер атакующего отправился не только запрос на загрузку картинки, но чтобы к нему еще было прицеплено расшифрованное сообщение.

Прошлая неделя была богата новостями на тему искусственного интеллекта. Начнем с сообщения издания The Information о прогрессе в расследовании смертельного ДТП с автономно управляемым автомобилем Uber. ДТП произошло в марте в Аризоне: погибшая в аварии переходила дорогу в неположенном месте, и даже если бы назначенный следить за роботами водитель-наблюдатель не клевал носом, вовремя отреагировать он не успел бы. Но ведь на то и нужны всякие сенсоры: они по идее и в темноте лучше видят, и реагируют быстрее. По данным The Information, датчики действительно обнаружили женщину относительно вовремя, но софтом было принято решение какое-то время не реагировать на объект — с целью борьбы с ложными срабатываниями.

Заметку The Information стоит делить на десять: пока официально в Uber не стали ничего подтверждать или опровергать, информация поступила из анонимных источников. Да и слишком просто это звучит: «ложные срабатывания». Вроде бы автопилот настраивается так, чтобы игнорировать предметы типа летающих пакетов и бордюрных столбиков, иначе получится не автономная езда, а сплошное мучение с постоянными попытками объезда несуществующих препятствий и резкими торможениями. Может ли оптимизация кода приводить к человеческим жертвам? В этом случае непонятно, но вообще, наверное, да. Почему нет-то?

3 мая Twitter попросил всех своих пользователей сменить пароль (новость). Причиной тому была не хакерская атака, как это обычно бывает, а некий глюк в системе регистрации событий. Снаружи пароли были не видны, но из-за неправильной настройки в лог они записывались в открытом виде.

Проведенное компанией внутреннее расследование исключило возможность неправомерного использования открыто хранящихся паролей кем-либо — неважно, сотрудником компании или третьим лицом. По данным Reuters, во внутренние логи в течение нескольких месяцев успели записать пароли более чем 330 миллионов пользователей.

Окей, Гугл, раз-раз, как меня слышно, прием? 12 апреля видеоблоггер Mitchollow устраивает в прямом эфире Ютьюба эксперимент, чтобы ответить на простой вопрос: если у вас на компьютере установлено какое-то ПО от Google (например, браузер Chrome), означает ли это, что Гугл, как родина, всегда слушает вас через микрофон? Автор видео сначала показывает табличку с названием товара (игрушки для собак), о котором позже он говорит вслух в течение пары минут. После этого, открыв пару популярных сайтов, моментально натыкается на рекламу зоомагазинов в больших количествах.

Из этого прекрасного эксперимента можно сделать массу далеко идущих выводов. Например, что мы сейчас, с точки зрения разнузданности слежки за пользователями в сети, живем в некотором мире дикого Запада, где нас профилируют по всем параметрам — от высказываний до селфи и паттернов встроенного в телефон датчика ускорения. Возможно, так и есть, но 24 апреля тот же видеоблоггер выкладывает не то чтобы опровержение, а скорее попытку показать, что не все так однозначно. Как обычно бывает в интернетах, первое видео с набросом на вентилятор смотрят больше двух миллионов раз, второе видео набирает всего 160 тысяч просмотров.

На прошлой неделе в Сан-Франциско прошла очередная, двадцать седьмая по счету бизнес-конференция RSA Conference. До начала 2000-х данное мероприятие можно было охарактеризовать как узкоспециализированную вечеринку криптографов, но постепенно деловой контент почти полностью вытеснил технический. Не всем такой формат мероприятия по информационной безопасности пришелся по душе. Всю неделю в твиттере то и дело проскакивали едкие комментарии технических экспертов, типа «RSA проходит максимально продуктивно, если запереться в гостиничном номере и поработать».

RSA — это и правда тусовка менеджеров, и не важно с чьей стороны — поставщика решений по безопасности или же компании-клиента. О киберзащите там говорят «на высоком уровне», общими словами, подчас туманно и расплывчато. В целом можно понять, почему технарей от формулировок типа «инклюзивность диверсификации при построении новой парадигмы инфобезопасности» так бомбит. Но в попытках поделить около-ИБ-сообщество на «наших» и «ваших» ничего хорошего нет. Во-первых, делителей и так в нашей жизни слишком много. Во-вторых, индустрия информационных технологий (если вспомнить тот же скандал вокруг Фейсбука) столкнулась с проблемами, которые технического решения, к сожалению, не имеют. Попробуем показать на примерах.

Широкое обсуждение вопросов приватности данных пользователей в Facebook — тема больше общественная, и если пытаться найти в ней какие-то технические особенности, то выходит, что с фейсбуком за последний месяц и вовсе ничего не произошло. Разве что разработчики браузера Firefox в конце марта выпустили решение, позволяющее изолировать учетную запись пользователя Facebook от прочей активности в вебе. А в остальном как обычно: то журналисты накопают еще больше шокирующих деталей об утечке данных, то Тим Кук из Apple выскажется на тему «мы продаем продукты пользователям, а не пользователей рекламодателям», то Марк Цукерберг отреагирует, что «все не так однозначно». В техническом сообществе в основном удивляются: а что тут нового? Уже давно понятно, что любая публичная активность в Интернете будет кем-то анализироваться и, возможно, как-то использоваться — во благо пользователям или как получится. Далеко не всегда обработка больших данных — обязательное зло. Вопрос в том, как сделать этот процесс прозрачнее.

Новость
Банкам и правоохранительным органам придется поднапрячься: известные торговцы крадеными данными кредиток JokerStash выставили на продажу реквизиты богатеньких клиентов элитных магазинов Saks Fifth Avenue и Lord & Taylor Stores — то есть американцев и гостей Штатов, для которых норма тратиться по-крупному. И снимать деньги за рубежом, конечно. Не так-то просто вычленить среди всех этих операций темные делишки мошенников.

К тому же дельцы из JokerStash, как это у них заведено, выкладывают товар небольшими порциями, чтобы не заблочили все разом. А значит, хайп по утечке утихнет, а они еще и половины не продадут. Для сравнения: в декабре они увели данные 7 млн карт, и до сих пор выложили только четверть. Из новой партии пока продается 125 тыс. кредиток, а всего украли 5 млн.

Новость
А вот любопытная свеженькая находка наших коллег. Некие предприимчивые товарищи решили снабдить публику необычными новостями. Впрочем, новости были так себе: не очень свежий эксплойт IE да троян Buhtrap, известный с 2014 года. И все это добро вывесили на ряд российских новостных сайтов, откуда и раздавали читателям. Незаметно, разумеется.

Эксплойт для Internet Explorer (CVE-2016-0189), также известный как VBScript Godmode, злоумышленники писали не сами — попятили из открытого источника. Троян, по сути, тоже лишь слегка модифицировали. Он, кстати, всегда использовался для воровства денег со счетов юридических лиц. Так что, по всей видимости, и тут была попытка добраться до компьютеров финансистов.

Новость 1, Новость 2

Любители халявной криптовалюты, кажется, дружно озадачились вопросом, куда бы спрятать майнер, чтобы его подольше не нашли. Как известно, там, где все банальное уже перепробовано, открывается простор для креатива. Так, некоторые умельцы нашли источник вдохновения в прекрасном лике голливудской звезды Скарлетт Йоханссон.

Охотники за Monero вписали код майнера прямо в фото звезды в формате PNG. Это позволило мошенникам не только самовыразиться, но и использовать для хранения зловреда легальный фотохостинг imagehousing.com. А заодно обмануть часть антивирусов.

Новость
Майнинг стал, пожалуй, самым частым поводом для новостей и самым модным развлечением киберпреступников. Однако где популярность — там и конкуренция: такими темпами скоро на каждом компьютере будет работать несколько зловредов разных разработчиков, не говоря уже о скриптах, встроенных в веб-страницы. А ресурсы CPU не резиновые.

Неизвестный умелец задумался о такой перспективе и решил подстраховаться: на просторах сети появился троян-майнер, который находит и останавливает конкурентов.

Новость
Среди авторов вредоносного ПО тоже попадаются романтики. К примеру, некий деятель под ником iCoreX0812 любовно назвал свой троян-шифровальщик Annabelle — в честь проклятой куклы, звезды вот уже двух фильмов ужасов сомнительной художественной ценности. Как и киноперсонаж, программа призвана приводить жертву в ужас, вот только получается у нее как-то не очень.

→ Новость

Большинство из нас использует в быту максимум две раскладки клавиатуры и вряд ли задумывается о том, что приложения, которые мы ежедневно запускаем, для корректной работы должны понимать и правильно отображать тысячи символов из сотен языков. И если забыть хотя бы про один знак, вся программа может рухнуть подобно Вавилонской башне.

→ Новость на русском, сообщение о проблеме на английском

Безграмотное письмо партнеру или заказчику может сильно подпортить репутацию. Но проверив в нем орфографию и пунктуацию, как оказалось, можно сделать его достоянием широкой общественности. В сервисе Grammarly, предназначенном для поиска ошибок в английском тексте, была обнаружена серьезная уязвимость, позволявшая посторонним с помощью несложного скрипта получать токены авторизации пользователей — и, соответственно, доступ к их документам.

Если вы занимаетесь подготовкой контента или руководите процессом его создания, то наверняка задумывались (или еще задумаетесь), зачем вы все это делаете, читает ли кто-нибудь выстраданные вами тексты и нужны ли они вообще кому-то. Уже совсем скоро, 20 марта 2018 года мы собираемся ответить на эти и не только вопросы: у нас в офисе пройдет очередная конференция «ProКонтент» для технических писателей, редакторов и локализаторов.

Новость на русском, подробности на английском
Недавно был обнаружен новый IoT-ботнет, созданный, по всей видимости, большим фанатом GTA: командный сервер размещен в домене фанатских мультиплеерных модов для GTA San Andreas. Помимо хостинга самопальных серверов «Сан-Андреаса», на сайте можно заказать DDoS-атаку за умеренную плату (от 20 долларов). Прозвали новый ботнет JenX, из-за рабочего бинарного файла с нежным девичьим именем Jennifer.

Заводчик JenX не стал изобретать велосипед, скорее уж наоборот, наскреб по сусекам. Для вербовки новых ботов зловред пользуется уязвимостями в маршрутизаторах Realtek и Huawei (код соответствующих эксплойтов был выложен автором печально известного BrickerBot в свободный доступ). Кроме того, в JenX используется обфускация кода через логическую функцию XOR с тем же ключом, что и в PureMasuta, — исходники этого зловреда в свободный доступ не попадали, но были опубликованы на дарк-форуме с доступом только по приглашениям. Вдобавок реверс-инжиниринг вскрыл еще и преемственность с Mirai.

Новость
Недавно в поле зрения ИБ-исследователей попали владельцы прокси-сервиса для Tor, которые грабили своих пользователей и вымогателей. Дело в том, что этот Tor-прокси сервис часто использовался жертвами криптовирусов, неспособными или не готовыми разбираться с установкой браузера Tor. Именно через этот сервис они заходили на .onion сайт злоумышленников. Некоторые вымогатели даже указывали в записках о выкупе ссылку для прямого захода через этот прокси-сервис — как говорится, все для клиента. Вот только при загрузке страниц адрес кошелька вымогателей тихонько менялся на посторонний.

Новость
Судьба зловреда Exobot, с помощью которого злоумышленники добывали данные банковских карт пользователей еще с 2013 года, сложилась интереснее, чем у большинства подобных троянов — но весьма проблематично для экспертов безопасности. Авторы бота охотно сдавали его в аренду на любой срок, причем сервис оказался столь успешен коммерчески, что появилась даже вторая версия, переработанная практически с нуля. Что характерно, заказчики могли по своему желанию модифицировать троян с помощью контрольной панели, выбирая нужные им функции. Практически фабрика клонов со спецификациями на любой вкус.

А в прошедшем декабре организаторы этого центра клонирования во всеуслышание заявили, что собираются продать исходный код ограниченному кругу покупателей. Якобы они уже срубили с Exobot достаточно и выходят из бизнеса. Заявление звучит не очень логично, но может быть отчасти правдой: если им удалось сорвать большой куш, теперь добыча и собственная свобода перевешивают возможные выгоды. Но скорее всего, операторы Exobot постарались таким образом замаскировать желание уйти в тень и скрыться от пристального внимания. Как бы то ни было, после первых же продаж неприятности не заставили себя ждать: зловред пошел в серию.

Новость на русском. Подробнее на английском
Популярные продукты Oracle пали жертвами недавно опубликованного эксплойта, позволяющего удаленно выполнять произвольный код, — правда, к удивлению экспертов, ничего хуже несанкционированной добычи криптовалюты с ними не случилось. Злоумышленники использовали уязвимость в серверах приложений WebLogic, пропатченную Oracle еще в прошлом октябре.

Для применения эксплойта, публично описанного чуть больше месяца назад, не требуется особых умений. Неудивительно, что вредоносная кампания быстро набрала обороты. Под раздачу попали не только сами серверы WebLogic, но и другие решения Oracle, которые их используют. В том числе PeopleSoft — ERP-система для управления сложной административной инфраструктурой и финансовыми потоками крупного предприятия (часто организации хранят в этой системе все свои данные, конфиденциальные и не очень).

Новость на русском, подробнее на английском

Обнаружен новый зловред, причисляемый к семейству Remote Access Trojan, который нашедшие его специалисты назвали Telegram-RAT. От аналогичного ему крысиного поголовья он отличается тем, что активно использует публичные облачные сервисы: API для ботов Telegram в качестве HTTPS-канала связи и Dropbox для хранения боевой нагрузки.