Теги → безопасность данных
Быстрый переход

Ранняя сборка iOS 14 утекла в Интернет ещё в феврале этого года

Похоже, что у Apple очень серьёзные проблемы с внутренней безопасностью. Как сообщает издание Vice, ранняя версия мобильной операционной системы iOS 14 находилась в распоряжении некоторых специалистов по компьютерной безопасности, хакеров и блогеров «как минимум с февраля этого года».

За последние месяцы в Сети то и дело появлялись утечки, связанные с новой версией мобильной ОС от Apple. Вполне вероятно, что их источником как раз является та самая ранняя сборка iOS 14, которая каким-то образом оказалась в Интернете.

Небольшие утечки о новом программном обеспечении Apple являются вполне обычным делом, особенно за несколько месяцев до их официальной презентации. Но весьма неординарной является ситуация, когда в Сеть попадает целая ранняя сборка iOS. По информации источника издания Vice, для Apple такое вообще случилось впервые.

В последних утечках, связанных с новой мобильной операционной системой, сообщаются сведения о новом фитнес-приложении, пакете PencilKit API для стилуса компании, обновленном iMessage, новом внешнем виде домашнего экрана, добавленной возможности тестирования сторонних приложений через сканирование QR-кодов, полной переделке функции хранения данных Keychain и многом другом. В то же время ресурс The Verge указывает, что если утечки основаны на декабрьской сборке iOS 14, то вполне возможно, Apple могла к настоящему моменту отложить внедрение некоторых из вышеуказанных нововведений или же полностью от них отказаться.

В прошлом Apple всегда выпускала для разработчиков мобильных приложений первую бета-версию новой iOS сразу же после мероприятия Worldwide Developers Conference. Оно обычно проходит в июне. В этом году из-за пандемии коронавируса компания поменяла формат и собирается провести WWDC20 в режиме онлайн 22 июня.

«На свою 31-ю годовщину конференция WWDC20 предоставит миллионам творческих и инновационных разработчиков со всего света ранний доступ к будущему iOS, iPadOS, macOS, tvOS и watchOS», — сообщается в опубликованном на сайте Apple пресс-релизе.

Компания, как правило, официально выпускает новую версию iOS осенью, вместе с запуском новых моделей смартфонов iPhone.

Комбо-чипы Wi-Fi и Bluetooth стали лазейкой для новой атаки Spectra

Интеграция беспроводных технологий в одном комбинированном решении делает устройства дешевле, но открывает путь к новым видам атаки по боковым каналам. К такому выводу пришли исследователи из Германии и Италии. Специалисты по безопасности обнаружили, что атака на комбинированные чипы для беспроводной связи позволяет незаметно проникать в соседний «спектр», извлекая данные и вызывая отказ в обслуживании.

Иллюстрация Жиски Классен (Jiska Classen), одной из исследовательей новой уязвимости

Иллюстрация Жиски Классен (Jiska Classen), одной из исследователей новой уязвимости

«Spectra, новый класс уязвимости, основан на том факте, что передачи происходят в одном и том же спектре [частотном диапазоне], а беспроводные чипы [каждого из стандартов] должны разрешать доступ к [общему] каналу», ― заявила исследовательская группа в кратком резюме, предваряя подробный доклад на конференции Black Hat, которая состоится в августе этого года.

Если верить исследователям, они разработали новую практическую атаку, которая разрушает барьеры между технологиями Wi-Fi и Bluetooth, работающими на одном устройстве, таком как ноутбуки, смартфоны и планшеты. Хотя данные (пакеты) окончательно обрабатываются на разных ядрах ARM, атака Spectra позволяет через атаку на Bluetooth-часть комбинированного чипа получить доступ к метаданным пакетов для Wi-Fi и, наоборот, атака на Wi-Fi-часть чипа позволяет провести атаку на широкополосный канал Bluetooth. Например, исследователи показали, что могут через атаку на Wi-Fi перехватить тайминги работы Bluetooth-клавиатуры.

Более простой задачей, с которой может справиться Spectra, представляется отказ в обслуживании. Также новый вид атаки даёт возможность одним ударом увеличить площадь поражения атакуемого устройства, накрыв обе технологии за один раз.

Исследователи изучили уязвимость Spectra на примере комбинированных радиочастотных чипов производства Broadcom и Cypress. Однако они отдают себе отчёт в том, что в мире существует намного больше подобных комбинированных решений и все их проверить невозможно, что даёт злоумышленникам определённое преимущество. Что до технических деталей Spectra, то, повторим, появятся они только в августе. Надеемся, к этому времени производители найдут возможность нейтрализовать или смягчить действие этой уязвимости.

Звезды Голливуда и шоу-бизнеса стали жертвами хакеров

Хакерская группировка REvil взломала базу данных юридической фирмы Grubman Shire Meiselas & Sacks, которая занимается делами знаменитых актёров и музыкантов. В распоряжении злоумышленников могли оказаться 756 Гбайт информации о таких звёздах как Элтон Джон, Леди Гага и Роберт де Ниро. Хакеры грозятся выложить эти данные в интернет, если фирма не перечислит им 21 миллион долларов.

В базе данных фирмы Grubman Shire Meiselas & Sacks хранились адреса знаменитостей, контракты на выступления и даже личные переписки. Чтобы доказать актуальность полученных сведений, хакеры выложили часть информации в интернет. Сначала они слили данные в файлообменник Mega, но сотрудники компании быстро удалили файлы. Затем в даркнете появились скриншоты украденных данных. 

На данный момент сайт Grubman Shire Meiselas & Sacks закрыт и посетителям виден только его логотип. Представители компании признали, что были подвержены взлому. Они уже оповестили о происшествии своих клиентов и пригласили экспертов «мирового уровня» для проведения расследования и решения возникшей проблемы. 

По словам эксперта по компьютерной безопасности из компании Emsisoft, у юридической фирмы нет особого выбора. Если они не заплатят злоумышленникам, информация о знаменитостях действительно может стать общедоступной. Если же они заплатят выкуп, возможно, хакеры поступят честно и действительно удалят украденную базу данных.

Хакерская группировка REvil также известна как Sodinokibi — так называется программное обеспечение, при помощи которого они осуществляют атаки. Как правило, злоумышленники внедряют вредоносный код в компьютеры жертв и блокируют доступ к компьютерной системе. Об опасности шифровальщиков вроде Sodinokibi мы рассказывали в новости про увеличение количества угроз в системе macOS.

Группа REvil часто использует для атак шифровальщик Sodinokibi

Группа REvil часто использует для атак шифровальщик Sodinokibi

За восстановление доступа хакеры просят довольно большие деньги. Например, в конце декабря 2019 года они заблокировали систему денежных переводов Travelex и потребовали от компании 3 миллиона долларов. Компания была вынуждена приостановить работу на две недели и в конечном итоге перевела злоумышленникам 2,3 миллиона долларов в биткоинах. После этого данные компании были восстановлены.

Хакеры выложили в даркнет личные данные 73 миллионов людей

Хакерская группировка ShinyHunters взломала базы данных десяти крупных компаний и получила доступ к личной информации 73 миллионов человек. Украденные данные уже продаются в даркнете на общую сумму около 18 000 долларов. Подробностями о происшествии поделилось издание ZDNet.

Каждая база данных продаётся отдельно. Чтобы доказать подлинность украденной информации, группировка выложила ее часть в открытый доступ. По данным ZDNet, выложенная информация действительно принадлежит реальным людям.

Хакеры взломали базы данных десяти компаний, в число которых входят:

  1. Сервис онлайн-знакомств Zoosk (30 миллионов записей);
  2. Сервис печати Chatbooks (15 миллионов записей);
  3. Южнокорейская платформа моды SocialShare (6 миллионов записей);
  4. Сервис доставки еды Home Chef (8 миллионов записей);
  5. Торговая площадка Minted (5 миллионов записей);
  6. Онлайн-газета Chronicle of Higher Education (3 миллиона записей);
  7. Южнокорейский журнал о мебели GGuMim (2 миллиона записей);
  8. Медицинский журнал Mindful (2 миллиона записей);
  9. Индонезийский интернет-магазин Bhinneka (1,2 миллиона записей);
  10. Американское издание StarTribune (1 миллион записей).

Авторы издания ZDNet связались с представителями вышеперечисленных компаний, но многие из них пока не вышли на связь. Откликнулась только компания Chatbooks и подтвердила, что ее сайт был действительно взломан.

Источник: ZDNet

Источник: ZDNet

Эта же группа хакеров неделей ранее взломала крупнейший онлайн-магазин Индонезии Tokopedia. Изначально злоумышленники бесплатно выложили личные данные 15 миллионов пользователей. Потом они выпустили в продажу полную базу с 91 миллионом записей и попросили за неё 5000 долларов. Вероятно, взлом нынешних десяти компаний был воодушевлён предыдущим успехом.

Источник: ZDNet

Источник: ZDNet

За деятельностью хакерской группировки ShinyHunters следит множество борцов с киберпреступностью, в том числе компании Cyble, Under the Breach и ZeroFOX. Считается, что состоящие в этой группе хакеры как-то связаны с группировкой Gnosticplayers, которая была особенно активна в 2019 году. Обе группы работают по идентичной схеме и выкладывают в даркнет данные миллионов пользователей.

В мире существуют десятки хакерских группировок, и полиция постоянно ищет их участников. Недавно правоохранительным органам Польши и Швейцарии удалось арестовать хакеров из группировки InfinityBlack, которая занималась кражей данных, мошенничеством и распространением инструментов для проведения кибератак.

Кругом враги: показано, как информация с ПК может утечь через блок питания

Всего две недели назад мы сообщали о том, как хакеры могут украсть данные с компьютера, используя вибрацию корпусных вентиляторов рабочей машины. Разработчик этого метода Мордехай Гури (Mordechai Guri) из Университета имени Давида Бен-Гуриона в Негеве (Израиль) представил иной вариант взлома — через ультразвуковые волны блока питания.

Метод позволяет получить данные из физически изолированной, то есть полностью отключённой от сети и прочих периферийных устройств, вычислительной системы. Поскольку для его применения используется блок питания, разработчик назвал метод POWER-SUPPLaY (от англ. power supply — блок питания). Работает он таким же простым образом, как и метод с корпусными вентиляторами. Для его использования не требуется наличие каких-то специальных аппаратных средств.

Сначала на компьютер жертвы «подсаживается» вредоносное программное обеспечение. Оно считывает системную информацию, а затем изменяет рабочую нагрузку на центральный процессор, заставляя его повысить нагрузку на блок питания. Хотя пользователь едва может услышать повышение нагрузки, она тем не менее приводит к изменению ультразвуковых частот, которые производит БП.

Эти ультразвуковые волны могут считываться с помощью смартфона хакера. Рабочая дистанция до источника звука составляет 5 метров. По словам исследователя, трансформаторы и конденсаторы обычно производят звук в диапазоне частот от 20 кГц до 20 МГц. Это как свист катушки индуктивности, только не слышимый человеческим ухом. Передачу данных с изолированной машины на смартфон Мордехай Гури продемонстрировал на видео.

Такой метод, как и вариант с корпусными вентиляторами, нельзя назвать особенно эффективными способами взлома компьютера. По ультразвуковым волнам блока питания можно передать около 50 бит информации в секунду или 22,5 Кбайт в час. Это эквивалент текстового файла, содержащего около 10 000 слов.

Ещё одним недостатком является необходимость установки вредоносного программного обеспечения на компьютер жертвы, а также обеспечение доступа к находящемуся рядом с ПК смартфону. Если хакер может получить доступ к этим устройствам, то будет гораздо проще «слить» с них информацию вручную.

В то же время Мордехай Гури не ставит перед собой задачей разработку эффективного метода взлома компьютера. Его работа прежде всего предназначена для того, чтобы продемонстрировать возможность различных вариантов взлома.

Враг внутри: вибрации корпусного вентилятора в ПК позволяют красть данные

Пристальное внимание к кажущимся мелочами вещам всегда открывает бездны возможностей. Это в полной мере касается уязвимости компьютеров. Исследователи научились извлекать информацию из изменений тока при нажатии клавиш на клавиатуре, из индикации светодиода активности HDD, из мерцания дисплея и даже из шума вентиляторов охлаждения. Новое исследование показывает, что вибрации корпусных вентиляторов также предоставляет собой потенциальный путь утечки данных.

Новый вид атаки на физически изолированную вычислительную систему (без подключения к сети) представила группа исследователей из Университета имени Давида Бен-Гуриона в Негеве (Израиль). Команда под руководством Мордехая Гури (Mordechai Guri) разработала технологию и написала программу AiR-ViBeR для хищения данных с помощью фиксации вибраций, исходящих от корпусного вентилятора ПК.

Вентиляторы охлаждения процессоров для этого оказались малопригодными, поскольку система крепления и материнские платы играли роль демпфирующего буфера, хорошо гасящего вибрации. Но зато вибраций корпусных вентиляторов было достаточно, чтобы они передавались с корпуса на стол и фиксировались акселерометрами обычного смартфона.

Как правило, акселерометры смартфонов без каких-либо проблем отдаются на милость сторонним приложениям. Что там скрывать и чего бояться? Предложенная израильскими исследователями технология взлома ПК показывает, что свободным доступом к акселерометру можно воспользоваться в корыстных целях. При этом владелец смартфона даже не заподозрит, что его аппарат фиксирует данные с системы и передаёт их злоумышленнику.

Выглядит опасно? Не стоит сразу думать о замене вентилятора на малошумящий и о подушке для смартфона. Предложенная схема взлома предполагает ряд условий для своего осуществления. Во-первых, на атакуемый ПК необходимо поставить зловредное программное обеспечение, которое будет передавать информацию через корпусный вентилятор. Во-вторых, необходимо установить принимающее вибрации ПО на смартфон пользователя. В-третьих, смартфон должен лежать на одном столе с атакуемым ПК. В-четвёртых, скорость передачи данных через вибрации вентилятора, корпуса и крышки стола очень низкая ― не выше 0,5 бит в секунду.

С подобной скоростью украсть что-то важное можно только после долгого и упорного слежения за объектом. К подавляющему большинству пользователей ПК это не относится. Можно спать спокойно.

Учётные данные 500 тысяч аккаунтов Zoom находятся в продаже в даркнете

Более 500 тысяч аккаунтов пользователей сервиса Zoom находятся прямо сейчас в продаже на хакерских форумах и сайтах даркнета по цене менее 1 цента за каждый, а в некоторых случаях и вовсе раздаются бесплатно.

Эти учётные данные собраны благодаря методу «credential stuffing» — вида кибератаки, в которой злоумышленники пытаются получить доступ к онлайн-сервису, используя украденные ранее учётные данные пользователей путём автоматического перебора регистрационных данных (логин/пароль). Прошедшие авторизацию пары «логин/пароль» формируются в списки, которые потом продаются другим хакерам.

Некоторые из учётных записей Zoom раздаются бесплатно на соответствующих форумах, чтобы хакеры могли использовать их для взлома, пранков и даже харассмента, количество которых настолько возросло в последнее время, что само это явление получило название «Зум-бомбинг» («Zoom-bombing»). Остальные продаются менее чем за один цент за одну запись.

По данным источника, компании занимающейся информационной безопасностью — Cyble, хакеры распространяют учётные данные даже бесплатно, чтобы заработать репутацию в своём сообществе.

Например, в приведенном ниже примере фигурирует фрагмент около 290 записей учётных данных, связанных с образовательными учреждениями Вермонта, Колорадо, Дартмута, Лафайета, Флориды и многие других штатов, которые были выложены в Сеть бесплатно.

Стоит сказать, что упомянутая выше компания Cyble сама вышла на контакт с продавцами чужих личных данных для покупки учётных записей оптом, чтобы они смогли предупредить своих клиентов о потенциальной опасности. Всего Cyble удалось приобрести более 530 тысяч учётных записей Zoom менее чем за 0,002 цента за штуку. Приобретённая информация включала адреса электронной почты пользователей, их пароли, URL-ссылки личной онлайн-встречи и их ключи HostKey.

В целях безопасности, если Ваш пароль от платформы Zoom использовался ранее на других сайтах, настоятельно рекомендуется изменить его, и создать уникальные пароли для других часто используемых интернет-сервисов. 

Стоит отметить, что разработчики сервиса для видеоконференций Zoom в последнее время прикладывают массу усилий по повышению уровня безопасности и конфиденциальности своего приложения. Например, с 5-го апреля, пароли для входа в чат и использование «комнат ожидания» стали обязательным условием для проведения всех онлайн-собраний в Zoom в рамках борьбы с «Зум-бомбингом».

Intel возглавила программу DARPA по защите ИИ от атак мошенников и обмана

Современные модели машинного обучения (ML) ограничены в возможностях распознавать мошенничество. Атакующему всегда легче придумать новую уловку, которую разработчики не смогли предусмотреть. Объять необъятное, как известно, невозможно, даже если очень хочется. Но мошеннические атаки на модели машинного обучения и ИИ можно смягчить, если разработать фундаментальные принципы защиты от такого вида атак. Эти работы возглавит компания Intel.

Как сообщается в пресс-релизе компании, агентство DARPA выбрало компанию Intel как главного исполнителя проектов по программе «Гарантированная устойчивость ИИ к обману» (Guaranteeing AI Robustness against Deception, GARD). Также Intel возглавила этот проект, но не единолично. Вместе с ней программой GARD будет плотно заниматься коллектив Технологического института Джорджии (Georgia Tech). Программа GARD продлится четыре года и обойдётся налогоплательщикам США во много миллионов долларов.

Одним из видов атак на модели машинного обучения являются так называемые состязательные атаки (adversarial attacks). Это вариант обмануть нейросеть, чтобы она выдала некорректный результат. Сделать это, например, можно с помощью тех или иных помех на анализируемом изображении. Ниже на фото сотрудники Intel приводят пример, когда картинка на футболке заставляет нейросеть идентифицировать человека как птицу. Но даже если искажения вносятся на уровне довольно небольшого числа пикселей, этого уже достаточно, чтобы ИИ и ML не смогли правильно определить объект.

Если модели машинного обучения не научить распознавать мошенничества на изображениях и видео, то нет смысла вообще говорить о массовом применении таких технологий на уровне систем национальной безопасности и в военном деле. Поэтому, собственно, проблематикой защиты ML от состязательных атак и других видов обмана ИИ занялось агентство Министерства обороны США по перспективным исследованиям.

Главной целью программы GARD заявлено создание теоретических основ системы ML, которые не только идентифицируют уязвимости системы и дают рекомендации по повышению их надёжности, но также способствуют созданию эффективных средств защиты. Это должно привести к тому, что со временем появятся устойчивые к обману системы ИИ с жесткими критериями оценки их эффективности.

Платформа для видеоконференций Zoom станет безопаснее с 5 апреля

Сервис для видеоконференций Zoom в ближайшее время получит две функции по усилению безопасности и конфиденциальности. Теперь пароли для входа в чат и использование «комнат ожидания» станут обязательными условиями для проведения всех онлайн-встреч в рамках борьбы с «Зум-бомбингом» («Zoombombing»). Изменения вступят в силу с 5 апреля.

Рост числа незванных гостей, которые врываются в чужие видео-чаты Zoom и шокируют ни о чем не подозревающих пользователей своим поведением или даже непотребным содержанием, заставил разработчиков Zoom усложнить процесс проведения собраний, который ими же изначально был сделан максимально простым в угоду росту популярности приложения.

Обязательное использование паролей в Zoom уже включено по умолчанию для новых встреч и собраний, к которым вы присоединились по соответствующему идентификатору (ID). Начиная с 5 апреля пароли будут включены и для ранее запланированных собраний Zoom. И после того, как участник присоединится к видеочату, ему нужно будет подождать пока создатель конференции подтвердит его участие (разработчики называют это виртуальной комнатой ожидания). Организатор собрания может подключать участников из комнаты ожидания по отдельности или всех сразу.

Популярность приложения Zoom резко возросла во время пандемии COVID-19, поскольку многие пользователи на карантине нуждались в простом и бесплатном сервисе видеоконференций, чтобы поддерживать связь с друзьями, семьей, коллегами и даже своими учителями йоги. Однако это сделало платформу мишенью для взломов, пранков и харассмента,  что стало называться единым термином «Зум-бомбинг». Проблема стала настолько серьезной, что зарубежные федеральные службы предупреждают о серьезных юридических последствиях для злоумышленников взламывающих службы Zoom.

Новые стандарты средств защиты приложения решают и другие проблемы безопасности с платформой Zoom. Вчера стало известно, что некоторые «исследователи в области безопасности» разработали автоматизированный инструмент, способный идентифицировать 100 незащищенных паролем идентификаторов собраний Zoom в час и собирать информацию об этих встречах. Возможно, в будущем новая политика паролей по умолчанию в Zoom помешает использовать такие инструменты для сбора идентификаторов встреч и личной информации.

Также в компании Zoom объявили о 90-дневном замораживании релизов новых функций платформы, пока не решатся обнаруженные проблемы с конфиденциальностью и безопасностью сервиса видеоконференций.

Twitter обнаружил баг в браузере Firefox, связанный с кешированием личных данных пользователей

Сегодня компания Twitter сообщила о баге в Mozilla Firefox: приватная информация о пользователе непреднамеренно хранится в папке кеша браузера целых семь дней.  В браузерах Safari или Chrome такой угрозы безопасности данных нет.

На сайте сервиса микроблогов говорится, что Firefox кешировал эти временные файлы даже после того, как пользователь вышел из системы или закрыл Twitter. В наихудшем сценарии это позволяет злоумышленнику получить доступ к личной информации. Это может произойти, например, если пользователь вошел в Twitter с помощью общедоступного компьютера через Firefox и загрузил данные из Twitter или отправил мультимедийный файл через личные сообщения (Direct Message).

Компания Twitter говорит, что уже исправила проблему, внеся изменения в свой сервис, чтобы браузер Firefox не мог хранить личную информацию пользователей в своём кеше. Официально в компании отреагировали так: «Нам очень жаль, что это произошло. Мы признаём и ценим доверие, которое вы нам оказываете, и стремимся зарабатывать это доверие каждый день».

Twitter также предупреждает пользователей, использующих общедоступные рабочие места, о необходимости очищать кеш браузера перед выходом из системы.

Коронавирус и удалённая работа открывают новые возможности перед хакерами

Общая тенденция такова, что на фоне распространения коронавируса компании по всему миру в срочном порядке переводят сотрудников на удалённую работу. Не все из них располагают подходящей инфраструктурой, да и для многих работников такая миграция является стрессом. В этой ситуации у хакеров возникают новые возможности.

Источник изображения: Reuters

Источник изображения: Reuters

Специалисты в области информационной безопасности сообщают об увеличившейся активности хакеров и мошенников, использующих ажиотаж, связанный с распространением коронавируса. Прежде всего, участились случаи распространения компьютерных вирусов и фишинговых писем под видом официальных информационных рассылок от государственных органов, призванных распространять оперативные данные о ситуации с коронавирусом. Сотрудники консалтингового подразделения Cisco Systems, которое занимается кибербезопасностью, сообщают о десятикратном росте количества обращений клиентов за последние недели.

Необходимость резкого перевода штата на удалённую работу вызывает массу ошибок со стороны персонала, увеличивает нагрузку на специалистов по информационной безопасности, а также открывает новые угрозы. Потеря ноутбука со служебной информацией сама по себе может стать проблемой, не говоря уже об аспектах работы через менее защищённые каналы связи. Человеческий фактор влияет и на качество удалённой работы — многим сотрудникам не удаётся избежать ошибок на первых этапах деятельности в новых условиях. Схемы дистанционного обучения подвергают опасности студентов и школьников, они тоже могут стать жертвами злоумышленников из-за необходимости проводить много времени за компьютером в процессе получения знаний.

Память для ПК и смартфонов всё ещё подвержена опасной уязвимости Rowhammer

Пять лет назад была обнаружена опасная уязвимость в микросхемах и модулях оперативной памяти. Это атака Rowhammer на ячейки с записанными данными, которая открывала хакерам доступ к системе. За прошедшие годы была придумана технология защиты от Rowhammer. Считалось, что память DDR4 и LPDDR4 неуязвима к данному виду атаки. Оказалось, что уязвимость осталась и её не так просто ликвидировать.

Группа VUSec по системам и сетевой безопасности в университете VU Amsterdam опубликовала исследование, в котором развенчивается миф об устойчивости памяти DDR4 а атакам вида Rowhammer. Этот вид атаки стал возможен после того, как техпроцесс производства оперативной памяти преодолел отметку 40 нм.

Чем ниже технологические нормы, тем плотнее располагаются ячейки памяти и заряды в ячейках (биты). Злоумышленник, атакуя с высокой скоростью чтения-записи определённые ячейки (ряды) памяти, вызывает переключение состояния в сопредельных ячейках, куда запись непосредственно командами не осуществляется. Тем самым происходит запись зловредного кода в память с последующим его исполнением или, что проще, вызывается отказ в обслуживании системы, а также несанкционированное повышение привилегий.

Для смягчения и устранения угрозы Rowhammer была придумана технология Target Row Refresh (TRR). Точнее, это общее название для комплексной защиты от Rowhammer. Производители памяти вольны сами выбирать подход, который защищает их память от данной уязвимости. Например, с этой уязвимостью справляется увеличение частоты обновления данных в памяти или включение ECC.

Свежая проверка 42 модулей памяти от нескольких компаний показала, что модули с включённой защитой TRR защищают от известных методов Rowhammer. Вот только исследователи VUSec создали алгоритм обхода TRR, после применения которого 13 из 42 модулей удалось успешно взломать.

Новая технология проведения атаки Rowhammer названа TRRespass (обход TRR). Найти пути обхода защиты исследователям помогли специалисты из Высшей технической школы Цюриха (ETH Zurich), которые предоставили исследователям всю инфраструктуру памяти в виде матрицы ПЛИС. После детального изучения механизмов работы памяти и интерфейсов исследователи создали программный инструмент для атаки по принципу фаззинга. Метод фаззинга используется при автоматическом тестировании программ. На вход подаются часто случайные данные, после чего анализируются выходные данные. Программа, а в данном случае модуль памяти, для исследователя остаётся «чёрным ящиком», знать о содержимом которого они не обязаны.

С помощью «guided black box fuzzer» исследователи обнаружили уязвимость к Rowhammer не только в модулях памяти, но также обнаружили возможность этой атаки на память в 5 моделях смартфонов: Google Pixel, Google Pixel 3, LG G7 ThinQ, OnePlus 7 и Samsung Galaxy S10e (G970F). Худшее время, необходимое для получения привилегий ядра, составляло три часа 15 минут, а лучшее ― 2,3 секунды. Также исследователи смогли подделать подпись доверенного ключа RSA-2048 за 39 минут (а лучшее время составило чуть больше минуты).

Компании Intel и AMD уже отреагировали на сообщение о новой технологии обхода уязвимости Rowhammer (CVE2020-10255). В Intel заявили, что эта уязвимость не относится к процессорам и является проблемой производителей модулей памяти. В AMD были менее разговорчивы и заявили, что контроллеры памяти в её процессорах выпускаются с использованием спецификаций JEDEC и они ничего знать не знают.

Clearview AI, собравшая 3 млрд идентифицированных фотографий, допустила утечку данных

Стартап Clearview AI использует свои алгоритмы машинного обучения для распознавания лиц и уже собрал базу данных из более чем трёх миллиардов фотографий, как заявляется, из открытых источников вроде Facebook, YouTube и Twitter. И теперь компания не только стала целью судебных разбирательств, но и попала в скандал с утечкой данных.

Как сообщается, серверы компании не были взломаны, но произошла утечка списка клиентов. Большинство из них — это правоохранительные органы США, которые используют программное обеспечение и базу данных Clearview AI для выявления подозреваемых.

Накопление гигантских массивов разносторонних структурированных данных без согласия пользователей вызывает обеспокоенность с точки зрения конфиденциальности. Иск против компании, о котором мы писали, уже приобрёл статус коллективной жалобы.

Clearview AI поспешила уверить через BBC News, что инцидент не должен вызывать беспокойства: «Безопасность — главный приоритет Clearview. К сожалению, утечка данных является неотъемлемой частью жизни в XXI веке. Наши серверы никогда не подвергались взлому. Мы исправили имевшийся изъян и продолжаем работать над укреплением нашей безопасности».

В Daily Beast также было сообщено, что нарушитель, получивший несанкционированный доступ к списку клиентов, не использовал противозаконные методы. Правда, этот факт вызывает ещё большее недоверие к уровню используемой защиты.

Главный аналитик охранной компании Synopsys Тим Маккей (Tim Mackey) сказал: «Хотя их юрист справедливо заявляет, что взлом данных является обыденностью в современном обществе, характер бизнеса Clearview AI усугубляет последствия таких атак. Системы распознавания лиц серьёзно развились и способны быстро идентифицировать человека. Но объединение данных визуальной идентификации с другими источниками, вроде социальных сетей, позволяет задействовать широкий контекст и получить детальный профиль пользователя, и всё без явного согласия человека, чьё лицо отслеживается».

В прошлом месяце расследование New York Times показало, что фотографии остались в базе данных Clearview AI даже после того, как пользователи удалили их из своих учётных записей в социальных сетях. Twitter, YouTube и Facebook потребовали от Clearview AI прекратить использование фотографий, размещённых на их платформах. А американский сенатор Рон Уайден (Ron Wyden) написал в Twitter, что деятельность Clearview вызывает чрезвычайную тревогу и добавил: «Американцы имеют право знать, закачиваются ли их личные фотографии в частную базу данных для распознавания лиц».

Но генеральный директор Clearview AI Хоан Тон-То (Hoan Ton-That) сказал в программе CBS This Morning, что право собирать публичные фотографии ему даёт Первая поправка — или, скорее, её вольная трактовка.

Лаборатория Касперского рассказала в Барселоне о безопасности личных данных

«Лаборатория Касперского» стала одной из немногих компаний, которая всё же провела своё собственное мероприятие в Барселоне, несмотря на отмену выставки MWC 2020. Темой стала мобильная безопасность, и, в частности, безопасность личных данных на мобильных устройствах.

Невозможно представить себе современного человека без смартфона, в котором в той или иной форме ни хранились бы личные данные. И эти данные интересны многим: крупным компаниям, чтобы что-то вам продать; злоумышленникам, чтобы заполучить ваши деньги; и даже вашим близким людям.

Одним из самых распространённых типов угроз для личных данных является рекламное ПО. Оно собирает большое количество информации, чтобы показывать таргетинговую рекламу, но при этом собранные данные плохо защищены и могут оказаться доступны в том числе и третьим лицам. Кроме того, если на смартфоне будет слишком много рекламы, им попросту станет невозможно пользоваться. И количество такого ПО за 2019 год почти удвоилось.

Другой угрозой личным данным является так называемое сталкерское ПО. Это условно легальные шпионские приложения, которые люди загружают на смартфоны близких и знакомых без их ведома, чтобы получить полный доступ к различным данным вроде местоположения, истории браузера, переписок в мессенджерах, фото и другого. Такое шпионское ПО работает в фоне и не раскрывает своего присутствия. Помимо нелегального сбора информации в пользу заинтересованной стороны, полученные таким ПО данные могут быть украдены с его серверов, что делает его опаснее, чем кажется на первый взгляд. В 2019 году пользователи стали сталкиваться со сталкерским ПО в три раза чаще, чем в 2018 году.

И конечно, по-прежнему большую угрозу представляют традиционные вирусы, в частности банковские трояны, которые сначала крадут банковские данные, а после — деньги. Такие трояны внедряются под видом легальных программ в официальных магазинах приложений, либо через различного рода спам. Заметим, что Россия уже третий год подряд оказалась на первом месте по числу пользователей, атакованных банковскими троянами.

Для защиты устройств от сталкерского и вредоносного ПО «Лаборатория Касперского» рекомендует:

  • скачивать приложения только из официальных магазинов и регулярно проверять, какие приложения установлены на устройстве;
  • регулярно обновлять устройство и сканировать систему на предмет заражения;
  • установить надёжный антивирус.

Отметим, что все эти советы справедливы не только для мобильных устройств, но и для настольных компьютеров и ноутбуков. Было также отмечено, что с каждым годом киберпреступники изобретают всё более изощрённые способы похищения личных данных, и эксплуатируют самые разнообразные эксплойты. Однако специалисты «Лаборатории Касперского» верят, что технологии, осведомлённость и здравый смысл помогут защитить приватность пользователей.

Описан способ красть данные, отслеживая яркость монитора, без подключения ПК к сети

Ранее уже описывались различные способы передавать данные с компьютеров без сетевого подключения или непосредственного физического контакта (например, с помощью звуков за пределами слышимого спектра), но в данном случае описан едва ли не наиболее изощрённый пример. Исследователи нашли способ красть данные с компьютеров без всякого подключения — отслеживая яркость дисплея.

Ben Gurion University

Ben Gurion University

Подход предусматривает ситуацию, когда скомпрометированный компьютер вносит незаметные глазу изменения значений цветов RGB на ЖК-дисплее, которые способна отследить камера. Теоретически, злоумышленник может загрузить вредоносное ПО в целевую систему через USB-накопитель, которое будет кодировать передачу пакетов данных с помощью незаметного для человека изменения яркости экрана, и затем использовать находящиеся поблизости взломанные камеры безопасности для перехвата нужной информации.

Конечно, это не просто: метод предполагает, что похитителю данных всё равно придётся взломать компьютер жертвы, установить вредоносное ПО и вдобавок иметь под своим контролем камеры, находящиеся в пределах прямой видимости от целевой системы. Этот на первый взгляд странный способ наверняка может быть использован спецслужбами в каких-либо очень редких специфических случаях, но весьма сомнителен и неудобен для обычных злоумышленников.

Тем не менее, в случае сверхзащищённых объектов без доступа к внешней сети придётся продумывать и возможность такого нетривиального взлома. Как минимум, не размещать камеры в пределах прямой видимости экрана, дабы исключить малейшую возможность подобного сценария.

window-new
Soft
Hard
Тренды 🔥