Привет, Хабр! Меня зовут Светлана Палицына, я — Android-разработчик в мобильной команде «Лаборатории Касперского», где мы создаем решения для защиты мобильных устройств.

Мои коллеги из Kaspersky уже рассказывали о наборе решений и технологий для управления поведением устройств, известном как Mobile device management (про ее применение в iOS можно прочитать здесь, а про использование в Android — здесь). Я же подробно рассмотрю один из режимов этого механизма — Lock task mode, также известный как Kiosk-режим.



Статья будет полезна Android-разработчикам, которые хотят дать своим пользователям возможность работы их устройств в режиме одного или нескольких приложений и пополнить копилку знаний информацией о возможностях MDM.

На прошлой неделе исследователи из трех британских университетов опубликовали работу, в которой предложили обновленную методику «подслушивания за клавиатурами» — распознавания набранных символов по звуку нажатия на клавиши. Авторы статьи ссылаются на успешные эксперименты с такими акустическими кейлоггерами, проведенные в 50-х годах прошлого века, и другие подобные работы. Достижением нового исследования стала чрезвычайно высокая точность определения нажатых клавиш, а также автоматизированный способ анализа с помощью нейросетей.



Интересным техническим моментом статьи является тот факт, что нейросети тренировали на анализ изображений. Так как работа исследует звук нажатий на клавиши, это довольно необычно. Оказалось, что такой подход обеспечивает более высокую точность распознавания. Изображения представляли собой модифицированную спектрограмму звуковых сэмплов, как показано на иллюстрации выше. Во всех экспериментах текст и цифры (без знаков препинания и спецсимволов) набирались на клавиатуре ноутбука Apple Macbook Pro 16 2021 года. Исследовались два сценария «подслушивания» — прямая запись звука на расположенный рядом с ноутбуком смартфон и удаленное прослушивание нажатий через телеконференц-сервис Zoom.

Еще несколько лет назад продакт-менеджер был мастером на все руки. Придумать продукт, разработать, спозиционировать, выпустить — все он. Или она. Главное — в одиночку. Либо с кучкой единомышленников, которые делят с тобой эти задачи. А потом пришел технологический прогресс. И все заверте…

Меня зовут Маргарита Мирошниченко, я — Recruitment Manager в «Лаборатории Касперского» и занимаюсь наймом продактов. Занимаюсь плотно — нельзя нанять специалиста, который будет вести продукт, не вникнув в работу этого специалиста. Поэтому я и мой коллега-продакт-менеджер многое можем рассказать о продактах. И мы расскажем! :)



Моя статья будет интересна тем, кто рассматривает должность продакт-менеджера для карьерного перехода, кто уже трудится в ней или кто, как я, взаимодействует с продактами по работе. Я поведаю, как изменилась работа за последние несколько лет, что теперь может входить в их задачи и что будет дальше.

На прошлой неделе исследователь Тавис Орманди из команды Google Information Security опубликовал подробности о новой уязвимости в процессорах AMD поколения Zen 2. Эта аппаратная проблема связана с ошибкой в логике работы процессоров, которую AMD, к счастью, решает обновлением микрокода. Исправление уже вышло, но пока только для серверных процессоров EPYC, где эта проблема наиболее актуальна. Патчи для десктопных и мобильных процессоров Zen 2, которые выпускались в период с 2019 по 2022 год, AMD обещает выпустить до конца 2023 года.



Пример на скриншоте выше максимально коротко описывает уязвимость. На GitHub также выложен работающий Proof of Concept. При удачном стечении обстоятельств Zenbleed позволяет извлекать информацию, хранящуюся в регистрах процессора, надежно и быстро: до 30 килобайт в секунду на каждое ядро. Хотя PoC написан под Linux, эксплуатация уязвимости возможна в любой операционной системе.

18 июля компания Citrix закрыла три уязвимости в корпоративных сетевых решениях Netscaler (а именно Netscaler ADC и Netscaler Gateway). Одна из уязвимостей (CVE-2023-3519) — критическая (рейтинг по методу CVSS 9,8 балла), она позволяет злоумышленнику выполнять произвольный код без авторизации. Эта угроза актуальна в том случае, если решение Netscaler ADC или Gateway работает в определенной конфигурации, например в качестве VPN-сервера или прокси-сервера RDP.



Уязвимость затрагивает Citrix Netscaler версий 12.1, 13.0 и 13.1, причем самая ранняя уязвимая версия имеет статус end-of-life и требует обновления до более свежей. Как сообщает издание Bleeping Computer, у наиболее серьезной проблемы статус zero-day. Эксплойт для нее был предположительно выставлен на продажу на одной из киберкриминальных площадок в начале июля. Впрочем, на момент утечки компания уже работала над исправлением ошибки.

Использование технологий интернета вещей (IoT) в городской среде позволяет оптимизировать и автоматизировать городские процессы, таким образом, делая город более эффективным, безопасным и удобным для жизни. Современные IoT-контроллеры позволяют собирать информацию с отдельных датчиков, подключенных инженерных систем и прочего оборудования, отправлять ее в облачные платформы и приложения для последующей аналитики.



При этом, становясь границей разделения физического и цифрового миров, такие устройства становятся узким местом с точки зрения кибербезопасности. Ведь, взломав их, злоумышленники получают возможность непосредственно влиять на процессы в физическом мире, получать доступ к чувствительным данным или изменять их. Таким образом, проникнуть из контура ИТ (информационные технологии) в контур ОТ (операционных технологий).

Мы взяли типовой контроллер для умного города и, совместно с создателями устройства (компанией ИСС), сделали его кибериммунным, то есть гарантированно выполняющим поставленные цели безопасности, даже под атакой. Это позволило реализовать потенциал концепции «умного города», избежав при этом сопутствующих критических киберрисков. В этом посте рассказываем, что конкретно мы сделали, почему именно так и как это помогло устранить киберриски.

Уследить за собственным девайсом иногда бывает сложно: все мы хоть раз да ходили по дому в поисках непонятно где забытого смартфона или планшета. А когда мобильных девайсов тысяча, и они нужны не только тебе, но и коллегам по команде (причем как в офисе, так и дома — у нас же гибридный рабочий график)? Это огромная головная боль, причем заболеть голова может в любой момент и с непредсказуемой силой…



Меня зовут Владимир Власов, я — Senior Testing Engineer в Мобильной команде «Лаборатории Касперского». И под катом я расскажу, как мы создали решение, благодаря которому все устройства для тестирования в нашем офисе теперь учтены, а их поиск стал в разы быстрее и проще.

Во вторник 11 июля компания Microsoft выпустила очередной ежемесячный набор патчей для своих продуктов. Апдейт получился крупный: всего закрыли 132 уязвимости, из них 9 критических. 4 проблемы активно эксплуатировались на момент выпуска патчей, включая одну в уже вроде бы устаревшем браузере Internet Explorer. Еще один zero-day патча не имеет, для него предложено лишь временное решение. Подробный обзор уязвимостей можно почитать в блоге «Лаборатории Касперского» и, например, у журналиста Брайана Кребса.



Патчи для Internet Explorer представляют особый интерес, так как компания Microsoft официально «похоронила» этот браузер еще в феврале. Несмотря на это, компоненты IE11 продолжают свою жизнь как в виде специализированного режима IE Mode в браузере Edge, так и в виде системных модулей. В их список входит компонент MSHTML, который может быть задействован другими приложениями; поэтому хотя официально Internet Explorer вроде как уже не используется, устанавливать для него патчи по-прежнему важно. Тем более что самая опасная уязвимость в MSHTML, CVE-2023-32046, как раз эксплуатируется в реальных атаках.

6 июля компания Progress закрыла критическую уязвимость в программном обеспечении MoveIT. Это корпоративное ПО для обмена файлами, которое предусматривает как передачу данных через публичное облако, так и использование конфигурации с приватным хостингом файлов внутри корпоративной сети. Уязвимость была найдена в веб-приложении MoveIT Transfer: ошибка в ПО открывает возможность классической SQL-инъекции. А она, в свою очередь, приводит к доступу к базе данных (и всем файлам) без какой-либо авторизации.



Это уже вторая критическая уязвимость в ПО MoveIT. Первая была обнаружена и закрыта в самом конце мая. Подробный разбор уязвимости тогда опубликовала компания Mandiant. Проблема в корпоративном софте активно эксплуатировалась на момент обнаружения и предоставляла достаточно легкий способ доступа к приватным данным. По разным источникам, жертвами организованной атаки через MoveIT стали от ~ 120 до 230 организаций.

На прошлой неделе исследователи из Швейцарской высшей технической школы Цюриха опубликовали работу, в которой показали новый метод атаки на ячейки оперативной памяти. Метод RowPress развивает идеи атаки RowHammer, впервые показанной в 2014 году еще на модулях памяти стандарта DDR3. Если предельно упростить описание этой атаки, RowHammer вызывает сбои в ячейках памяти путем многократных операций чтения соседних ячеек. Вызванная таким «постукиванием» перемена значения в целевой ячейке с единицы на ноль или наоборот может эксплуатироваться для, например, доступа к защищенным данным в оперативной памяти.



Суть RowPress показана на этом трудночитаемом графике. Исследователи из ETH Zurich слегка изменили метод атаки: они последовательно, сотни и тысячи раз подряд, обращались к ячейкам памяти так, чтобы контроллер держал «открытым» соответствующий ряд ячеек максимально долго. То есть, по сути, они применили новый порядок обращения к данным. Именно это усовершенствование привело к значительному уменьшению количества операций, необходимых для того, чтобы в соседнем ряду произошел сбой и значение целевой ячейки изменилось. Эффективность атаки таким образом удалось повысить в десятки и сотни раз. В некоторых случаях повреждение данных удавалось вызвать после всего одной активации соседнего ряда ячеек. Самое главное, что работоспособность RowPress была продемонстрирована на вполне актуальных модулях памяти DDR4, которые защищены от предыдущих атак RowHammer.

В 2023 году, в эпоху взрывного роста нейросетей, вся IT-отрасль продолжает давать кандидатам в стажёры (и не только) домашние тестовые задания. Компании тратят время на то, чтобы придумать эти задания, студенты тратят время на то, чтобы их сделать, потом компании снова тратят время на проверку… В этой небольшой заметке я продемонстрирую, что все задачи последних лет решаются за несколько минут при использовании нейронки, доступ к которой может получить каждый.

Я возьму тестовые задания на Python, C++, Go и C#  и буду использовать только открытые источники, убрав названия компаний и прямые ссылки, чтобы исключить любые подозрения в предвзятости.

А в качестве нейронки использую ChatGPT Plus (GPT 4). Она всё еще очень глупа, много выдумывает и постоянно смешно ошибается, но как раз для таких задач годится хорошо.

И да, вместо дисклеймера. Если вы хоть немного успели «посотрудничать» с ChatGPT, то статья может показаться вам глубоко капитанскоочевидной (она такая и есть, безусловно). Но если вы вместо хайпа по нейронкам предпочитаете работать, то у вас нет времени на такие развлечения. Так что, возможно, несколько минут, которые вы сейчас потратите на прочтение, сэкономят вам много часов инвестиций в «ненастоящих стажеров» и «ненастоящих джунов». И соответственно, помогут не наделать ошибок при найме.

На прошлой неделе эксперты «Лаборатории Касперского» опубликовали исследование одной из «умных кормушек» компании Dogness. Это достаточно необычные IoT-устройства, имеющие, впрочем, общую функциональность с умными дверными звонками и видеокамерами: возможность удаленного управления через приложение, передача видео и звука. Есть и еще одна общая черта: категорически небезопасная реализация всех этих функций.



Протестированное устройство определенно входит в список эталонно незащищенных IoT-изделий: трудно найти в нем функцию, связанную с удаленным управлением, которая была бы нормально реализована. На фото приведен пример продукции данной компании, хотя конкретная модель в отчете не названа. Но функциональность у них примерно одна и та же: подключение к домашнему Wi-Fi, работа через Интернет, отправка на сервер видеороликов, записанных на встроенную видеокамеру. Для начала на кормушке был обнаружен работающий протокол telnet, позволяющий удаленное подключение с правами суперпользователя. Пароль root — фиксированный и хранится в прошивке устройства.

Мы поучаствовали в хакатоне от LearnPrompting, посвященном атакам на ChatGPT, и заняли восьмое место среди около четырехсот команд. Если вам интересно, зачем мы провели несколько ночей за взломом чат-бота, как нам пригодился опыт борьбы с фишингом и умеют ли нейросети хранить секреты, — добро пожаловать под кат.

12 июня было опубликовано исследование о серьезной уязвимости в ПО для реестров доменных имен. Программное обеспечение CoCCA используется для управления доменами в таких зонах, как .ai, .ms и .td. Для коммуникации с регистраторами доменных имен, которые должны вносить изменения в реестр, оно применяет стандартизированный протокол EPP (Extensible Provision Protocol). Уязвимость в обработчике XML-запросов позволяла перехватить контроль над целой доменной зоной и, например, менять записи для существующих доменных имен или создавать новые.


Авторами материала стала команда во главе с Сэмом Карри, экспертом по безопасности, который не только умеет находить нестандартные уязвимости, но и подробно рассказывает о процессе их обнаружения. Предыдущая публикация Сэма, например, рассказывала об уязвимостях в сетевых сервисах автопроизводителей. Его новый материал также представляет интерес благодаря подробному описанию выявленных проблем. Главный вывод авторов отчета: критическая инфраструктура Интернета очень часто недофинансирована. Более ранние исследования по «угону доменов», как правило, фокусировались на взломе DNS-серверов. Однако в этом случае все получилось проще и опаснее: зачем атаковать DNS, если можно модифицировать любую информацию прямо в реестре доменной зоны?

Рано или поздно каждого сетевого администратора настигает задача растянуть L2 домен. После этого любой IT-администратор достает бубен и начинает танцевать танец разной степени сложности: от Pseudowire до Ethernet over GRE. Не миновала эта задача и нас (уж очень наши ИБ-продукты любят анализировать SPAN трафик). А решать мы ее решили с помощью нашего же продукта Kaspersky SD-WAN.



Растянутый L2, SPAN, информационная безопасность и SD-WAN — довольно странный набор сетевых технологий для статьи, но, если бы автор вам предложил почитать про очередные active/active балансировки по unequal cost каналам связи в SD-WAN это было бы не так любопытно.

В этой статье делимся опытом и показываем, как настроить решение в режиме передачи L2 трафика между филиалами. И, забегая вперед, можем сказать, что все получилось настолько просто, что даже бубен доставать не пришлось.

Пятого июня исследователи «Лаборатории Касперского» опубликовали подробный разбор вредоносной программы Satacom, известной также как LegionLoader. Речь идет о семействе загрузчиков — программ, которые устанавливают на компьютер пользователя «полезную нагрузку». В статье разобран вариант, в котором на устройство жертвы ставится расширение для браузера с богатой функциональностью по краже криптовалют.



Особый интерес представляет показанный в статье метод распространения вредоносного кода. В дополнение к чисто мошенническим сайтам, предлагающим скачать пиратскую версию какого-либо популярного ПО, Satacom также распространяется через рекламные объявления, представляющие собой изображение кнопки Download. Да, это тот самый случай, когда на каком-то (сомнительном или не очень) файловом хостинге отображается сразу несколько кнопок загрузки файла, и пользователю нужно угадать, какая из них относится непосредственно к этому хостингу. В исследовании подробно описана ситуация, когда потенциальная жертва нажимает не туда, куда надо.

Привет, Хабр! Меня зовут Арсений, я — тимлид в команде разработки инструментов разработчика KasperskyOS. Работа нашей команды заключается в том, чтобы делать жизнь разработчика ПО под нашу собственную микроядерную OS удобной, так что любые технологии, упрощающие жизнь разработчика, не оставляют нас равнодушными. Вместе со всеми мы следим за хайпом вокруг нейросетей и решили сделать небольшой обзор AI-плагинов автодополнения кода, которые каждый из нас может использовать уже сейчас.

В этой заметке попробуем сравнить следующие AI плагины VSCode:

• Copilot v1.84.61 — самый нашумевший робот
• Tabnine v3.6.45 — самый старый из трех и самый дорогой
• Codeium v1.2.11 — самый свежий и самый малоизвестный
• FauxPilot — Open source, self-hosted аналог Copilot, использующий модели от CodeGen; посмотрим, что может противопоставить коммерческим продуктам OSS-проект, развернутый на моем запечном сервере.

Статья может быть полезна любому разработчику, пишущему на одном из мейнстримовых языков программирования. Также можно рассматривать ее как источник идей — как использовать этих пока глуповатых, но усердных роботов.

1 июня эксперты «Лаборатории Касперского» опубликовали первый отчет о новой целевой атаке на мобильные устройства Apple. Атаку обнаружили в корпоративной сети компании и назвали «Операция Триангуляция». Отчет можно считать предварительным — он дает только общие сведения о процессе атаки. Кроме того, в тексте подробно перечислены индикаторы компрометации, позволяющие другим компаниям и исследователям найти зараженные устройства: доменные имена, к которым обращается вредоносное программное обеспечение, характерные сетевые запросы. Последние предлагается анализировать по двум сценариям: по логам активности на самом устройстве (точнее, после анализа резервной копии) и по перехватам трафика в сетевом окружении.


Атаку обнаружили благодаря SIEM-системе KUMA: с ее помощью был зафиксирован подозрительный трафик в корпоративной сети Wi-Fi. Как и другие целевые атаки на устройства Apple, «Триангуляция» начинается с отправки сообщения в мессенджере iMessage. Сообщение задействует уязвимость в iOS, что позволяет выполнить произвольный код. Каких-либо действий со стороны владельца устройства не требуется: вредоносный код выполняется автоматически и незаметно для пользователя.

На прошлой неделе мы в «Лаборатории Касперского» провели онлайновый митап «Выйти в open source и нанести всем пользу». Создатели и разработчики популярного (1,6 тысячи звезд на Github, свыше 3,5 тысяч уникальных пользователей по данным аналитики Nexus) open-source-фреймворка для автотестов Kaspresso рассказали, какой путь предстоит пройти контрибьюторам и какие подводные камни их могут ждать.



Здесь в посте — краткая выжимка эфира в семи ключевых тезисах. Если же вам интересно послушать более развернутую дискуссию и аргументы участников, посмотрите запись митапа по этой ссылке или в виджете ниже.

В середине мая открылась свободная регистрация имен в доменных зонах .ZIP и .MOV. Эти TLD вошли в список из сотен коммерческих доменных зон, обслуживанием которых занимаются частные компании. В данном случае регистратор, обслуживающий эти два TLD, принадлежит Google. От всех остальных доменов верхнего уровня эти два отличаются тем, что соответствующие URL крайне трудно отличить от имен файлов с таким же разрешением. Среди специалистов по безопасности это сразу же вызвало опасения: кликабельные ссылки в мессенджерах и соцсетях, похожие на имена файлов, теоретически должны упростить кибератаки.



Как подобная атака может выглядеть на практике, на прошлой неделе показал исследователь, известный под ником mrd0x. Он зарегистрировал доменное имя mrd0x.zip, на котором детально воспроизвел интерфейс архиватора WinRAR.