Информационная безопасность *

Эксперты из JFrog выявили в репозитории Hugging Face вредоносные модели машинного обучения, установка которых может привести к выполнению кода атакующего для получения контроля за системой пользователя.

Проблема вызвана тем, что некоторые форматы распространения моделей допускают встраивание исполняемого кода, например, модели, использующие формат pickle, могут включать сериализированные объекты на языке Python, а также код, выполняемый при загрузке файла, а модели Tensorflow Keras могут исполнять код через Lambda Layer.

Для предотвращения распространения подобных вредоносных моделей в Hugging Face применяется сканирование на предмет подстановки сериализированного кода, но выявленные вредоносные модели показывают, что имеющиеся проверки можно обойти.

Кроме того, Hugging Face в большинстве случаев лишь помечает модели опасными, не блокирую к ним доступ.

Всего выявлено около 100 потенциально вредоносных моделей, 95% из которых предназначены для использования с фреймворком PyTorch, а 5% c Tensorflow.

Наиболее часто встречающимися вредоносными изменениями названы захват объекта, организация внешнего входа в систему (reverse shell), запуск приложений и запись в файл.

Источник: OpenNET.

Генеральный директор Palantir Алекс Карп заявил, что софт компании позволил предотвратить террористические атаки в Европе.

«При всей скромности, если их не остановить, то на Западе была бы совсем другая политическая реальность. И это просто факт», — отметил он.

Карп даже заявил, что Palantir «уберегла Европу от возвращения фашизма», и жители региона «должны сказать компании спасибо». 

Palantir привлекла первые инвестиции от подразделения венчурного капитала Центрального разведывательного управления США In-Q-Tel. Она получала контракты на оборонное и разведывательное применение своих технологий анализа данных в США. также компания сотрудничает с Иммиграционной и таможенной службой (ICE). 

Карп утверждает, что его компания «играет огромную роль в превосходстве США в технологиях». Однако, согласно оценкам, Palantir контролирует чуть менее 2% рынка анализа данных.

Специалисты BI.ZONE выяснили, что хакерская группировка Mysterious Werewolf перешла на собственные инструменты для атак. Чтобы атаки сложнее было распознать, злоумышленники используют для удалённого доступа вредоносную программу собственной разработки. Ранее группировка применяла легитимный инструмент с открытым исходным кодом.

Для проникновения в инфраструктуру жертв злоумышленники использовали фишинг и эксплуатировали уязвимость WinRAR CVE-2023–38 831. Хакеры рассылали от имени различных регуляторов письма с архивом. В архиве находился отвлекающий документ в виде официального письма и папка с вредоносным файлом в формате CMD. Если пользователь открывал заражённое письмо, WinRAR автоматически должен был исполнить вредоносный файл.

Далее на устройство жертвы устанавливался оригинальный бэкдор RingSpy. RingSpy представляет собой программу для удалённого доступа, позволяющую злоумышленникам выполнять команды на скомпрометированном компьютере и скачивать данные. Для управления бэкдором используется бот в Telegram.

По словам руководителя BI.ZONE Threat Intelligence Олега Скулкина, в ноябре 2023 года группировка Mysterious Werewolf использовала озвученную схему для атак на российские промышленные компании. Однако в конце осени 2023 года для удалённого доступа злоумышленники применяли агент Athena фреймворка Mythic, представляющий собой легитимный инструмент для тестирования на проникновение.

«Лаборатория Касперского» рассказала, что решения ИБ‑компании для конечных пользователей обнаружили и заблокировали 126 миллионов киберугроз на устройствах российских пользователей в 2023 году. Доля российских пользователей, потенциально попадающих под эти атаки, составляет 45,43%. Такие данные эксперты компании представили на Kaspersky CyberSecurity Weekend в Малайзии.

Также эксперты «Лаборатории Касперского» отмечают рост числа и уровня сложности целевых атак программ‑вымогателей. За 2023 год количество кибергрупп, проводящих целевые атаки с использованием программ‑вымогателей, увеличилось в мире на 30%, а число их жертв — на 70% по сравнению с 2022 годом. За озвученный период хакеры‑вымогатели получили платежей на сумму $1 млрд.

Состоялся релиз проекта FreeRDP 3.3.0, предлагающего свободную реализацию протокола удалённого доступа к рабочему столу RDP (Remote Desktop Protocol), развиваемую на основе спецификаций Microsoft.

Проект предоставляет библиотеку для интеграции поддержки RDP в сторонние приложения и клиент, который может применяться для удалённого подключения к рабочему столу Windows. Код проекта распространяется под лицензией Apache 2.0.

В версии FreeRDP 3.3.0:

• добавлены новые сборочные опции (для CMake):

  • WINPR_UTILS_IMAGE_PNG — включает поддержку PNG через libpng.

  • WITH_LODEPNG — включает поддержку PNG через lodepng.

  • WINPR_UTILS_IMAGE_WEBP — включает поддержку WEBP.

  • WINPR_UTILS_IMAGE_JPEG — включает поддержку JPEG.

  • USE_EXECINFO — управляет выводом трассировок стека через execinfo.

  • WITH_WEBVIEW — включает сборку c WebView, отключённую по умолчанию в Windows, macOS и Android.

  • PLUGIN_ABS_PATHS_DEFAULT — задаёт путь по умолчанию к каталогу с плагинами.

• в интерфейсах xfreerdp и wlfreerdp добавлена поддержка передачи изображений в форматах JPG/JPEG, PNG, GIF, ICO и WEBP через буфер обмена;

• улучшена реализация клиента на базе библиотеки SDL. Добавлена поддержка настройки горячих клавиш;

• загрузка плагинов разрешена только при указании абсолютных путей;

• улучшен выбор алгоритмов для TLS-соединений;

• добавлена поддержка атрибута WINPR_ATTR_MALLOC (malloc wrapper) для GCC и Clang;

• реализован блокирующий режим работы.

Источник: OpenNET.

Росстандарт утвердил спецификацию протокола защищенного обмена для индустриальных систем ГОСТ Р 71 252–2024 «Информационная технология. Криптографическая защита информации. Протокол защищенного обмена для индустриальных систем». Новый национальный стандарт разработан компанией «ИнфоТеКС», внесен Техническим комитетом по стандартизации ТК 26 «Криптографическая зашита информации». Стандарт вступает в силу с 1 апреля 2024 года взамен рекомендаций по стандартизации Р 1 323 565.1.029–2019. Данный документ стал первым национальным стандартом РФ, описывающим криптографический протокол.

CRISP (CRyptographic Industrial Security Protocol) — неинтерактивный протокол защищенной передачи данных, разработанный для применения в индустриальных системах. Разработка протокола велась специально для индустриальных систем, чтобы обеспечить передачу компактных блоков промышленных данных и отказаться от достаточно высоких требований к вычислительным мощностям и каналам связи, которые предъявляются при использовании протоколов на основе CMS (Cryptograghic Message Syntax).

Протокол CRISP позволяет защищать данные, передаваемые как в TCP\IP‑сетях, так и в сетях узкополосной передачи LPWAN. Применять новый национальный стандарт можно в качестве слоя защиты для протокола LoRaWAN RU (ГОСТ Р 71 168–2023), NB‑IoT, ZigBee, XNB, а также для ряда промышленных протоколов в АСУ ТП и в IIoT‑системах.

Эксперты по ИБ зафиксировали с утра 21 февраля 2024 года массовую регистрацию злоумышленниками доменов с похожими на Qiwi названиями.

По данным Angara Security, многие сайты зарегистрированы или обновлены именно 21 февраля. Уже на 14:00 мск было зарегистрировано более 200 доменов в сегментах .com, .ru, .org, .net, .de, .cn, .ltd с названиями qewi, qi-wi, qi7i, qivi и т. д. До сегодняшнего дня было выявлено 667 сайтов, помимо официальных, которые используют нейминг Qiwi, уточняют эксперты по ИБ.

В Angara Security отмечают несколько сценариев использования этих доменных имен, которые в большинстве представляют собой пустые страницы, площадки для переадресации на другие сайты (например, мошеннические агрегаторы) либо киберсквоттинг для дальнейшей перепродажи. 

«Сейчас есть проблемы с выводом денежных средств с QIWI-кошелька. Мошенники могут оперировать этой повесткой — на зарегистрированных доменах разместить копию сайта QIWI и предлагать помощь для вывода средств», — отмечают в Angara Security. Если пользователи случайно воспользуются фишинговым сайтом, есть риск передать злоумышленникам свои учетные данные от кошелька и лишиться денежных средств, предупредили пользователей в ИБ-компании.

21 февраля Банк России объявил об отзыве лицензии на осуществление операций у «Киви банка». Регулятор заявил, что Qiwi-банк нарушил Федеральный закон «О банках и банковской деятельности». После отзыва лицензии у банка пополнение Qiwi-кошельков и вывод с них денег заблокировали.

Компания «РуПост» (входит в «Группу Астра») объявила о выпуске на российский рынок системы управления мобильными устройствами WorksPad MDM (Mobile Device Management).

Это решение включено в состав платформы WorksPad EMM (Enterprise Mobile Management), которая обеспечивает централизованное управление и защиту обрабатываемых удалёнными сотрудниками данных за счёт установки на используемые ими портативные Android- и iOS-устройства контролируемого организацией приложения-контейнера с настраиваемыми инструментами для работы, политиками безопасности и шифрования передаваемой по сети информации.

При этом клиентская программа не контролирует приватные данные владельца устройства и никак на них не влияет.

Решение WorksPad MDM позволяет заменить иностранные EMM-платформы, организовать работу на планшетах, портативных телефонах и других подобных устройствах, включая как защищенные мобильные рабочие места, так и централизованное управление мобильными устройствами на iOS и Android. Этот проект позволяет администрировать подключенные к Mobile Device устройства внутри одной сети, настраивать и обновлять ПО, а также удалять информацию в случае потери или кражи мобильного устройства.

По данным BI.ZONE Brand Protection, в 2023 году в открытый доступ попали 420 баз данных, содержащие больше 981 млн строк, а в январе 2024 года — ещё 62 базы общим объёмом 525 млн записей. Базы содержали паспортные данные граждан, адреса, телефонные номера, платёжную информацию, личные и корпоративные email‑адреса. Пароли в открытом или хэшированном виде встречались в утечках от 2023 года в 13% случаях и в 6% — в утечках от января 2024 года, рассказали информационной службе Хабра в пресс‑службе ИБ‑компании.

За февраль 2024 года произошло 29 утечек общим объёмом более 11 млн строк, 85% из которых содержали пароль или хеш пароля. В 2023 году специалисты BI.ZONE помогли российским компаниям выявить утечки 75 тысяч email‑адресов, что минимизировало различные последствия у этих компаний.

Для минимизации рисков, связанных с утечками данных электронной почты, различные ИБ‑специалисты советуют придумывать для разных ресурсов разные пароли, периодически менять их, а для хранения использовать специальные программы — менеджеры паролей.

У меня кратко сегодня.

Попробовал запретить Тинькову собирать биометрические данные. Получил замечательное:

Мы конечно прекратили, но в следующий раз вашего согласия даже спрашивать не будем.

Минцифры объявило о поиске директора Департамента обеспечения кибербезопасности, который должен уметь справляться с такими задачами:

• защита ключевых информационных систем и ИТ-инфраструктуры государства, а также объектов КИИ;

• защита граждан: борьба с кибермошенничеством, фишингом, фродом;

• дальнейшее развитие отрасли кибербеза, рынка ИБ-решений и услуг.

Ведомство пояснило, что эта вакансия для тех, кто готов своими руками создавать регуляторику в области ИБ, продвигать идеи кибербеза в массы, отвечать на новые государственные и мировые вызовы.

Основные требования к соискателю:

• высшее техническое образование;

• глубокое знание индустрии;

• опыт реализации крупных федеральных проектов в сфере ИБ;

• знание современных тенденций в области кибербезопасности, понимание регулирования ФСТЭК, ФСБ;

• понимание актуального ландшафта угроз ИБ и современных средств защиты;

• знание требований действующих законодательных актов и стандартов обеспечения ИБ (187-ФЗ, 152-ФЗ, 44-ФЗ, 223-ФЗ).

Собеседование лучших кандидатов проведёт замминистра Александр Шойтов. На финальном этапе кандидатов на эту должность ждёт встреча с главой Минцифры Максутом Шадаевым.

Вышли корректирующие выпуски JavaScript-платформы Node.js 21.6.2, 20.11.1, 18.19.1, в которых исправлено 8 уязвимостей (4 из них с высоким уровнем опасности):

• CVE-2024-21892 — возможность подстановки непривилегированным пользователем кода, наследующего расширенные привилегии, с которыми выполняется рабочий процесс;

• CVE-2024-22019  — отказ в обслуживании через исчерпание доступных ресурсов (нагрузка на CPU и расходование пропускной способности) при обработке встроенным HTTP-сервером специально оформленных chunked-запросов;

• CVE-2024-21896 — выход за границу базового каталога в файловых путях, уязвимость позволяет обойти нормализации файловых путей при помощи path.resolve() в случае передачи пути с использованием класса Buffer;

• CVE-2024-22017 — вызов setuid() не сбрасывал все привилегии;

• CVE-2023-46809 — уязвимость в API privateDecrypt(), допускающая применение атаки Marvin для расшифровки RSA на основе измерения времени операций;

• CVE-2024–21 891 — возможность обхода модели прав доступа при использовании пользовательских обработчиков нормализации файловых путей;

• CVE-2024-21890 — некорректная обработка масок в параметрах "--allow-fs-read" и "--allow-fs-write";

• CVE-2024-22025 — отказ в обслуживании через израсходование ресурсов при декодировании сжатых данных в формате Brotli, полученных через вызов fetch().

Источник: OpenNET.

Центр стратегических разработок опубликовал сборник российского программного обеспечения для замены зарубежных аналогов «СУБД: руководство по импортозамещению». В раздел о средствах защиты и обезличивания данных СУБД было включено две системы компании «Гарда Технологии» (входит в группу компаний «Гарда») «Гарда DBF» (ранее «Гарда БД») и «Гарда Маскирование».

Авторы сборника «СУБД: руководство по импортозамещению» разделили системы управления и обработки данных на категории на основании функционала и соответствия требованиям государства в обеспечении информационной безопасности. Все представленные инструменты входят в Реестр российского программного обеспечения.

Аналитики «Яндекс 360» проанализировали деятельность почтовых спамеров и выделили несколько периодов повышенной активности, рассказали информационной службе Хабра в пресс‑службе компании «Яндекс». По словам директора по информационной безопасности «Яндекс 360» Андрея Иванова, ближайший всплеск активности фишеров начнётся в ближайшее время, если точнее — в середине февраля 2024 года.

По исследованиям «Яндекс 360», за 2023 год было заблокировано 1,5 млрд фишинговых писем с PDF‑вложением, несущих вредоносную ссылку, 582 млн писем — содержавших предложения пройти обучение, 475 млн писем — с псевдорозыгрышами призов, 462 млн писем — замаскированных под рассылки известных магазинов или компаний и 324 млн писем — с якобы предложениями работы.

На уральском форуме «Кибербезопасность в финансах» бизнес‑консультант по информационной безопасности Positive Technologies Алексей Лукацкий в рамках презентации отчёта о фишинговых атаках на организации за 2022 и 2023 года рассказывал, что фишинговые атаки учащаются к определённым знаковым датам.

Некоммерческая организация lowRISC объявила о доступности первого готового к коммерческому производству чипа на архитектуре RISC-V, построенного на базе открытой платформы OpenTitan.

Проект был основан компанией Google, но после передачи организации lowRISC к его разработке присоединились такие компании, как Western Digital, Seagate, Nuvoton Technology, Winbond, Rivos, zeroRISC и G+D Mobile Security. Связанный с проектом исходный код и спецификации аппаратных компонентов опубликованы под лицензией Apache 2.0.

OpenTitan развивается в соответствии с концепцией «безопасность через прозрачность», подразумевающей доступность кода и схем, а также полностью открытый процесс разработки, не привязанный к конкретным поставщикам и производителям чипов.

В основу решений, применяемых в OpenTitan, заложены технологии, уже используемые в криптографических USB‑токенах Google Titan и TPM‑чипах для обеспечения верифицированной загрузки, устанавливаемых на серверах в инфраструктуре Google, а также на устройствах Chromebook и Pixel.

OpenTitan включает различные логические блоки, востребованные в RoT‑чипах, такие как открытый микропроцессор на базе архитектуры RISC‑V (RV32IMCB Ibex), криптографические сопроцессоры, аппаратный генератор случайных чисел, менеджер ключей с поддержкой DICE, механизм защищённого хранения данных в постоянной и оперативной памяти, технологии защиты, блоки ввода/вывода, средства безопасной загрузки.

Источник: OpenNET.

Специалисты ВТБ рассказали о развитии старой схемы с просьбой одолжить денег в различных мессенджерах и социальных сетях. Сама схема, когда мошенники взламывают аккаунт пользователя в различных мессенджерах и соцсетях с поиском нужного собеседника, довольно старая. Однако новый шаг в схеме с диалогом представляет собой копирование старых голосовых сообщений.

Злоумышленник начинает общение от лица жертвы и просит денег, для убедительности он высылает найденные в переписке старые голосовые сообщения. Это должно показать собеседника, что с ним действительно общается его знакомый или родственник. Далее злоумышленник переходит к отработанной схеме по просьбе денег с переводом на указанную карту.

Мы отмечаем юбилей! 11 февраля компании "Газинформсервис" исполнилось 20 лет.

Основанная в 2004 году в Санкт-Петербурге, сегодня компания входит в топ лидеров российского рынка информационной безопасности.

Мы создает и развивает собственные продукты для защиты информации и ИТ-инфраструктуры крупного бизнеса, реализует полный комплекс мероприятий по созданию систем защиты информации любого масштаба и сложности, проводим сертификацию продуктов, выполняем консалтинговые работы в области ИБ, предоставляем услуги удостоверяющего центра.

У нас дружный коллектив, который с каждым годом делает все больше успешных проектов. И мы всегда рады новым специалистам.

Присоединиться к команде.

Пользователи Windows теперь могут использовать физические ключи безопасности для входа в iCloud. Информация об этом появилась на обновлённой странице поддержки. Функция работает в фирменном приложении iCloud для Windows. Его требуется обновить до 15 версии. Ранее пользователи могли использовать для этого только пароль, а поддержка физических ключей безопасности была на iOS, iPadOS и macOS.

Специалисты по кибербезопасности из компании Fortinet рассказали швейцарской газете Aargauer Zeitung об инциденте с 3 млн зубных щёток, использовавшихся в DDoS‑атаке. По словам ИБ‑специалистов, системы одной швейцарской компании были выведены из строя на 4 часа, ущерб от атаки оценивается в миллионы евро.

Как утверждают в ИБ‑компании, зубные щётки были заражены через программное обеспечение на Java. При этом Aargauer Zeitung и Fortinet не назвали атакованную компанию, используемое на щётках программное обеспечение, марку и модель щёток, задействованных в атаке. Также ИБ‑специалисты не указали, закрыта ли уязвимость, позволяющая использовать эти девайсы в DDoS‑атаках.

Некоторые специалисты по ИБ уже поставили под сомнение реальность этой истории. Однако возможность взлома Smart‑устройств и IoT‑устройств никто не отрицает.

Небольшая новость, которая может быть интересна желающим проверить на прочность устройства Яндекса. Мы расширили «Охоту за ошибками» для умных устройств, добавив в неё новинки прошлого года — Станцию Дуо Макс, Миди и ТВ Станции. Кроме того, максимальная сумма вознаграждения за найденные уязвимости выросла с 600 тысяч до миллиона рублей.

Подробнее об условиях можно узнать на сайте программы.