В среду, 1 марта, в 16 часов (МСК) мы проведем онлайновый митап под названием «Kaspersky Tech. Корпоративная метавселенная».

Вместе с гостями предыдущего эфира о метаверсе (посмотреть запись можно по этой ссылке) продолжим развенчивать мифы о том, что такое метаверс, и что такое метаверс для корпораций в частности. Обсудим, как метавселенная и ее элементы уже проникли в нашу корпоративную жизнь и какие элементы неизбежно будут в нее внедряться.



Кроме того, затронем следующие темы:

Нечасто мы пишем про киберсталкинг — когда знакомые, родственники и близкие люди используют цифровые технологии для слежки за жертвой. На прошлой неделе исследователи компании Certo показали, как можно следить за владельцами iPhone при помощи штатной, но достаточно малоизвестной фичи — синхронизации с компьютером по Wi-Fi. Достаточно получить доступ к разблокированному телефону на пару минут, подключить его к компьютеру и включить опцию создания регулярных бэкапов по беспроводной сети.



Естественно, компьютер организатора слежки и телефон жертвы должны постоянно использовать общую сеть Wi-Fi. Особенность этого метода в том, что как-либо взламывать телефон или устанавливать на него дополнительные программы не нужно. Все происходит при помощи штатной функции iOS, которая к тому же практически никак себя не проявляет: все, что видит владелец iPhone, — это иконка синхронизации в строке статуса. Между тем синхронизация происходит раз в сутки, а незашифрованный бэкап открывает сталкеру доступ почти ко всем данным пользователя. Естественно, этим воспользовались мошенники: в сети можно найти приложения, которые автоматически разбирают бэкапы и передают информацию из них на телефон инициатора слежки в удобном для анализа виде. В «сводку» попадают все текстовые сообщения (включая удаленные), фотографии, история посещения веб-сайтов, история звонков, логи мессенджеров и данные геолокации.

Исследователи из университетов США и Швейцарии опубликовали научную работу, в которой исследуется утечка данных, используемых для обучения нейросетей. Конкретно изучались диффузионные модели, а большинство экспериментов проводились с разработками Stable Diffusion и Imagen, генерирующими картинки по текстовому запросу. Для них было показано несколько вариантов атак, в результате которых генерируется не «новое» изображение, а практически идентичная копия картинки из обучающего датасета.



Исследование вносит вклад в общее обсуждение этичности использования авторских изображений для обучения нейросетей. В середине января несколько художников даже подали иск к создателям подобных сервисов, в котором, в частности, как источник проблем упоминается Stable Diffusion. Новые методы, провоцирующие утечки обучающих изображений, могут использоваться как для выведения сервисов «на чистую воду», так и для улучшения защиты исходных картинок разработчиками. В некоторых случаях, когда в датасетах содержится приватная информация, исключить утечки может быть особенно важно.

В среду, 15 февраля, в 15 часов (МСК) мы проведем онлайновый митап под названием «Kaspersky Tech: База знаний здорового техписа».

На митапе выступят пять спикеров, которые в своих компаниях занимаются менеджментом знаний и руководят работой с технической документацией и веб-контентом. Темы их выступлений всесторонне охватят область Баз знаний (БЗ) – от процесса создания БЗ и ее «продажи» остальным командам внутри компании, до поддержки БЗ и измерения ее эффективности. А также, конечно, поговорим, как грамотно внедрить использование Базы знаний в пайплайн разработки.

30 января компания QNAP выпустила обновление для операционных систем QTS и QuTS Hero, закрывающее серьезную уязвимость, которая может привести к получению полного контроля над устройством. ОС QTS и QuTS Hero используются соответственно в устройствах NAS начального уровня и более мощных. Практически никаких деталей об уязвимости не приводится, кроме того, что ее эксплуатация предполагает проведение SQL-инъекции. Проблеме присвоен идентификатор CVE-2022-27596 и близкий к максимальному рейтинг 9,8 балла по шкале CvSS v3.



Свежая уязвимость позволила оценить, как много устройств подвержены проблеме и при этом доступны из Интернета: те пользователи, которые работают с сетевым хранилищем только в локальной сети, естественно, не могут быть атакованы. Такое исследование 3 февраля провела компания Censys. Всего было обнаружено более 60 тысяч устройств QNAP, но только половина из них отдавала информацию об используемой версии ПО. Из этих 30 520 устройств только на 557 был установлен патч, выпущенный пятью днями ранее. Большинство обнаруженных устройств расположены в Италии, США и Германии.

В середине января стало известно о компрометации инфраструктуры компании Zendesk, предоставляющей клиентам платформу для обработки обращений в техническую поддержку. Примечательно, что Zendesk не стала выкладывать информацию об инциденте у себя на сайте, вместо этого ограничившись рассылкой писем ряду клиентов.



Один из клиентов, компания Coinigy, выложила полный текст сообщения у себя на сайте. Как выяснилось, в сентябре прошлого года один из сотрудников компании стал жертвой фишинговой рассылки по SMS. В результате этого организаторы атаки получили доступ к «неструктурированным логам» клиентов Zendesk. Несанкционированный доступ был обнаружен и закрыт только месяц спустя, в конце октября 2022 года.

15 января пользователь NFT God опубликовал у себя в Twitter печальную историю о том, как у него украли сбережения в криптовалюте. Он также временно потерял доступ к своим учетным записям в соцсетях, каналу в Discord и другим ресурсам. Причиной стала попытка загрузить софт для скринкастинга Open Broadcaster Sofware. Вместо настоящего сайта программы NFT God кликнул на рекламу и оттуда загрузил вредоносное ПО. Новость с описанием событий опубликована на Хабре, а по следам инцидента издание Bleeping Computer собрало список популярного ПО, в поисках которого вы можете столкнуться с трояном.



Инцидент этот далеко не первый. Проблема рекламной сети Google Ads по-прежнему заключается в плохой модерации объявлений и невероятной схожести реальных результатов поиска с рекламными вставками. В результате пользователи имеют дело с сотнями вредоносных сайтов, мимикрирующих под официальные ресурсы для загрузки множества распространенных и, как правило, бесплатных приложений.

В конце прошлого года исследователи из швейцарского университета ETH Zurich опубликовали работу, в которой описали семь уязвимостей в мессенджере Threema. Этот мессенджер при передаче сообщений использует сквозное шифрование, то есть содержание переписки в идеальных условиях должно быть доступно только отправителю и получателю. Threema позиционируется как одно из наиболее защищенных средств коммуникации в Сети. Естественно, что информация об уязвимостях в таком инструменте привлекла внимание. На прошлой неделе разработчики мессенджера опубликовали отзыв на исследование, в котором раскритиковали не обнаруженные проблемы, а, скорее, их интерпретацию.


В любом случае все обнаруженные уязвимости в протоколе шифрования закрыты. Более того, публикация исследования совпала с релизом нового протокола коммуникации в Threema — Ibex. Он предположительно решает фундаментальный недостаток старого протокола: в нем не была реализована концепция прямой секретности (forward secrecy), при которой взлом ключей для определенной сессии не позволяет расшифровать более раннюю или более позднюю переписку. Критика работы со стороны Threema отчасти обоснована, и оценить ее лучше всего на примере двух самых серьезных проблем, выявленных исследователями из ETH Zurich.

3 января исследователь Сэм Карри опубликовал большой отчет, посвященный уязвимостям в сетевой инфраструктуре ряда автопроизводителей. Все обнаруженные проблемы относятся к сервисам, которые производители создавали для автодилеров или конечных пользователей. Эксплуатация этих дыр (на момент публикации отчета уже закрытых) могла привести к раскрытию чувствительной клиентской информации. В отдельных случаях Сэму Карри удалось получить доступ к телематическим системам, вплоть до блокировки стартера конкретного автомобиля.



Новые данные в отчете объединены с более ранними похожими исследованиями, информацию о которых Карри уже публиковал. Полный список уязвимых автопроизводителей впечатляет: в него входят Kia, Honda, Nissan, Infiniti, Acura, BMW, Mercedes-Benz, Hyundai и Genesis, Rolls-Royce, Ferrari, Ford, Porsche, Toyota, Jaguar и Land Rover. Кроме того, проблемы были найдены у поставщика услуг централизованного управления парком автомобилей Spireon и разработчика «умных» автомобильных номеров Reviver. А поводом исследовать инфраструктуру автопроизводителей стала уязвимость, найденная в сервисе проката электроскутеров.

22 декабря гендиректор LastPass Карим Тоубба поделился новой информацией о взломе инфраструктуры компании и последовавшей за этим утечке данных. Все оказалось несколько сложнее, чем было объявлено ранее: в руках взломщиков предположительно оказался не только некий исходный код, но и пользовательские данные. По утверждению компании, получить доступ к ним нелегко, поскольку они зашифрованы. Тем не менее определенный риск для клиентов LastPass существует, в частности они могут стать жертвой атак с использованием украденной информации.



Вся эта история началась еще в августе этого года: тогда LastPass отчиталась о компрометации аккаунта разработчика и, как теперь стало понятно, серьезно недооценила последствия инцидента. Взлом LastPass произошел практически одновременно с массовой атакой с использованием фишинговых SMS на сотрудников множества компаний. Был скомпрометирован сервис Twilio, предоставляющий инфраструктуру двухфакторной авторизации многим другим компаниям. Через него атакующие получили доступ к некоторым учеткам в мессенджере Signal, пострадала компания Okta, сервис доставки еды DoorDash. Инцидент в LastPass, возможно, не связан с этой масштабной атакой, но характеристики у него похожие: получение доступа к учетке сотрудника, оперативные попытки развития атаки внутри корпоративной сети. Благодаря относительной открытости LastPass все это время мы могли наблюдать за тем, как достаточно подкованная в сфере защиты данных компания борется с настойчивым организатором кибератаки.

В начале декабря новое исследование опубликовал Мордехай Гури, сотрудник университета Бен-Гуриона в Израиле. Гури и его коллеги последовательно изучают способы эксфильтрации данных из изолированных компьютерных систем, используя максимально необычные каналы. Мы следим за его работой уже много лет: вот, например, дайджест 2016 года о сливе данных путем изменения частоты вентилятора. В 2017 году была предложена сложная схема двунаправленного обмена данных между компьютером и камерой видеонаблюдения, оснащенной инфракрасным светодиодом.


Возможно, самое крутое исследование израильских ученых демонстрирует, как можно эксплуатировать паразитное излучение от работы оперативной памяти для передачи данных на частотах сотовой связи стандарта GSM. Более свежая работа этим летом демонстрировала утечку через кабель SATA. Наконец, декабрьское исследование показывает, как сконструировать простейший радиопередатчик, используя систему динамического изменения частоты и напряжения центрального процессора.

7 декабря компания Apple сообщила о серьезных изменениях в вопросах защиты данных, загружаемых в облачную систему (официальное сообщение, подробная статья в издании Wall Street Journal, новость на Хабре). Главное изменение, которое станет доступно пользователям в начале следующего года, — это возможность шифрования бэкапов смартфона или планшета, которые загружаются в сервис iCloud.



Это действительно важный шаг со стороны Apple. Ранее компания внедрила множество систем безопасности, усложняющих несанкционированный доступ к данным на самом устройстве. Однако резервные копии данных на смартфоне загружались в облако без шифрования. Таким образом, в случае взлома учетной записи в руки злоумышленников попадало огромное количество информации, включая, например, переписку в iMessage. Сама переписка при этом шифровалась с использованием сквозного шифрования, но бэкапы представляли довольно серьезную прореху в общей модели приватности пользователя. Но это не единственное нововведение. Apple также пообещала внедрить поддержку авторизации в своих сервисах с помощью аппаратного ключа, а также отказалась от достаточно спорной системы сканирования пользовательских устройств на наличие детской порнографии.

На прошлой неделе издания Ars Technica и The Verge сообщили о проблемах с защитой данных в IP-видеокамерах Eufy (этот бренд принадлежит компании Anker). Интересная особенность этих публикаций — это ссылка на драму — бурное обсуждение в «Твиттере» как главный источник информации. Несмотря на то что обнаруженные, скажем так, особенности работы видеокамер были проверены независимыми друг от друга исследователями, реальный ущерб для пользователей оценить достаточно сложно.



Не помогает и позиция самого производителя, который в одном сообщении опровергает все обвинения в нарушении приватности, в другом — косвенно подтверждает то, что обнаружили исследователи. Главная проблема Eufy заключается в том, что производитель обещает полную приватность и работу без «облаков» (в смысле, что все данные остаются на устройстве, а если и передаются владельцу, то исключительно по зашифрованному соединению). На самом деле на серверы производителя без спроса отправляются как минимум отдельные кадры с видеокамер, когда они фиксируют движение. Но при некоторых условиях без всякого шифрования отдается в сеть и полноценный видеопоток.

7 и 8 декабря пройдет наша традиционная онлайн-конференция для разработчиков KasperskyOS Night 2022. Особенно ждем тех, кому было бы интересно не просто послушать и почитать, но и пообщаться с разработчиками KasperskyOS.



Планируем обсудить ключевые темы:

• Формальную верификацию кода в KasperskyOS.
• Доступность популярных опенсорсных проектов и библиотек под KasperskyOS.
• Кибериммунитет: что это и для чего он нужен разработчику.
• Разработку графической подсистемы ОС.
• Изучение кибериммунных ката (на случай если вы не поклонник восточных единоборств, то ката — эталонные техники, формализованные движения).
• Реальный опыт разработки под KasperskyOS.
• Что такое KasperskyOS Community Edition?
• Где вообще изучать разработку под KasperskyOS?

Можно ли определить координаты устройства с работающим WiFi, пользуясь исключительно штатными особенностями беспроводного стандарта? И если можно, что потом делать с этой полезной информацией? Ответы на оба вопроса попробовали дать исследователи из университетов США и Канады в работе, опубликованной в октябре и недавно выложенной в общий доступ.



То, что обнаружили авторы исследования, можно назвать уязвимостью в протоколе WiFi, актуальной для всех его итераций, от 802.11a до 11ax. Точнее, речь идет сразу о двух штатных фичах протокола. Одна позволяет за короткие сроки собрать MAC-адреса большинства устройств, подключенных к определенной точке доступа. Другая вынуждает отдельные устройства отвечать на запросы «левого» устройства. А для более-менее точной геолокации потребуется погонять вокруг исследуемого объекта квадрокоптер.

В среду, 30 ноября, в 16 часов (МСК) мы проведем онлайновый митап под названием «Автотесты для огромных инфраструктур». Наши коллеги-SDET`ы (Software Development Engineer in Test) из разных команд «Лаборатории Касперского» расскажут про свои успешные практики.

На прошлой неделе исследователи «Лаборатории Касперского» опубликовали статистику по вредоносному ПО, которое использует зараженные компьютеры для майнинга криптовалют. Данные приведены за три квартала 2022 года. Несмотря на заметное падение обменного курса криптовалют, в области вредоносного майнинга все это время наблюдался устойчивый рост. Всего за 2022 год было зафиксировано 150 тысяч новых вариантов майнеров — в три раза больше по сравнению с аналогичным периодом прошлого года.



Пожалуй, наибольший интерес в отчете представляет вот этот график, показывающий, как меняются приоритеты атакующих от квартала к кварталу (данная статистика учитывает программы, эксплуатирующие какую-либо уязвимость в популярном ПО). Доля вредоносных программ с функциями майнинга криптовалют стабильно росла весь год, а в третьем квартале такие зловреды встречались чаще, чем традиционные бэкдоры. В среднем за год каждая седьмая атака с использованием таких вредоносных программ могла приводить к установке майнера.

На прошлой неделе компания Lenovo выпустила обновление UEFI BIOS для более чем 50 модификаций ноутбуков. Патчи закрывают две из трех уязвимостей, которые позволяют обойти или отключить систему безопасности Secure Boot. В худшем случае подобная прореха позволяет вредоносной программе закрепиться в UEFI и восстанавливаться даже после полной переустановки операционной системы. Инцидент подробно описан в статье издания Ars Technica, на сайте Lenovo имеется бюллетень со списком пострадавших ноутбуков.



Уязвимости обнаружили специалисты компании ESET и описали их особенности в серии твитов. Полноценной публикации по ним первооткрыватели делать не стали, так как похожая проблема была ранее обнаружена в ноутбуках Lenovo в апреле этого года. Причина появления и более старых уязвимостей, и более свежих одинаковая: отладочные драйверы внутри прошивки UEFI, которые случайно были выпущены в общий доступ.

В четверг, 17 ноября, в 16 часов (МСК) мы проведем онлайновый митап под названием «Метавселенная: выдуманные образы / реальный базис».

Вместе с гостями, в числе которых автор популярной хабрастатьи «Секретный прогноз IT-экосистемы (сбывшийся на 82%), чтобы понять к чему готовиться», изучим предпосылки Метавселенной – от попкультурных образов до реальных пользовательских сценариев, с которыми мы уже сталкиваемся – и разберем технологический базис Метаверса. А также обсудим, в какой степени то, что «рисуют» корпорации, игровые компании, маркетологи и журналисты, в действительности соответствует проектам концепции Метаверс.

На прошлой неделе мы рассказывали про результаты расследования инцидента в компании Twilio. Аналогичный отчет недавно опубликовала компания Dropbox. Эта атака примечательна тем, что она была нацелена непосредственно на разработчиков внутри организации. Соответственно, результатом атаки стала частичная утечка исходных кодов. Подобные расследования представляют интерес, так как раскрывают и методы атаки, и последствия успешного проникновения в достаточно защищенную (как можно предположить) инфраструктуру крупной компании.



Разработчики Dropbox стали жертвой достаточно обыденной фишинговой атаки. Ее особенностью, впрочем, стало использование подходящего бренда: фишинговые сообщения рассылались якобы от имени платформы CircleCI. Dropbox не единственная пострадала от атаки: еще в сентябре хостинг GitHub предупреждал пользователей о рассылке похожих фишинговых сообщений. Если потенциальная жертва переходила на фишинговый веб-сайт, ей предлагали заново залогиниться с использованием учетных данных GitHub. Если в аккаунте была включена многофакторная аутентификация, фишинговый сайт также предусматривал поле для ввода одноразового токена. В результате атакующие получали доступ к учетной записи GitHub, в которую добавлялись дополнительные ключи доступа, работающие даже в случае смены пароля.