Гибкие возможности поиска в Telegram позволяют пользователям легко находить общедоступные каналы и ботов. К сожалению, широкие возможности поиска также были использованы нечистыми на руку людьми, которые нарушили Условия обслуживания мессенджера для продажи незаконных товаров. За последние несколько недель специальная команда модераторов при помощи ИИ сделала поиск в Telegram намного безопаснее, удалив проблемный контент, рассказал Павел Дуров.

Источник изображения: unsplash.com

«Чтобы удержать преступников от злоупотребления поиском, мы ясно дали понять, что IP-адреса и номера телефонов тех, кто нарушает наши правила, могут быть раскрыты соответствующим органам в ответ на обоснованные юридические запросы», — сообщает официальный канал основателя Telegram Павла Дурова.

Telegram также сообщил об обновлении Условий обслуживания и Политики конфиденциальности — теперь их единообразие обеспечено по всему миру.

Эти меры направлены на то, чтобы отпугнуть преступников. По словам Дурова, «поиск в Telegram предназначен для поиска друзей и новостей, а не для продвижения незаконных товаров. Мы не позволим недобросовестным лицам поставить под угрозу целостность нашей платформы для почти миллиарда пользователей».

Пользователи могут сообщить об обнаруженном небезопасном или незаконном контенте в поиске Telegram, отправив сообщение на адрес @SearchReport.

Компания Google представила безопасную синхронизацию ключей доступа (passkeys) с расширенной поддержкой различных платформ. Помимо устройств Android теперь можно сохранять ключи доступа в Google Password Manager из Windows, macOS, Linux и Android с помощью PIN-кода.

Источник изображения: Copilot

Одним из главных нововведений, пишет The Verge, стала упрощённая синхронизация ключей доступа между различными устройствами. Ранее для их использования на других платформах требовалось сканирование QR-кода. Теперь этот процесс заменён вводом PIN-кода, что должно значительно упростить сохранение и использование паролей на устройствах, отличных от Android.

«Сегодня мы выпускаем обновления, которые ещё больше упростят использование ключей доступа на ваших устройствах. Теперь вы можете сохранять их в Google Password Manager из Windows, macOS, Linux и Android, а также ChromeOS в бета-версии. После сохранения ключи доступа автоматически синхронизируются на всех устройствах, что делает вход в систему таким же простым, как сканирование отпечатка пальца», — говорится в блоге Google.

Источник изображения: Google

Новый PIN-код не только делает процесс аутентификации более удобным, но и сохраняет высокий уровень безопасности. Ключи доступа по-прежнему защищены сквозным шифрованием, что гарантирует их недоступность даже для Google. Чтобы их использовать на новом устройстве пользователю достаточно будет разблокировать экран своего Android-устройства или ввести PIN-код для Google Password Manager.

Ожидается, что технология PIN-кодов позволит забыть о сложных паролях и сосредоточиться на более простых, но безопасных методах аутентификации. В компании отмечают, что уже с сегодняшнего дня можно создавать пароли для популярных сайтов и приложений, таких как Google, Amazon, PayPal и WhatsApp, так как Google Password Manager встроен в устройства Chrome и Android.

Масштабная уязвимость в системе безопасности Secure Boot, получившая название PKfail, оказалась гораздо более распространённой, чем предполагалось ранее. Проблема, названная PKfail, затрагивает банкоматы, платёжные терминалы, медицинские устройства, игровые консоли, корпоративные серверы и даже машины для голосования. Использование тестовых ключей платформы в производственных системах на протяжении более 10 лет поставило под угрозу безопасность устройств от ведущих производителей отрасли.

Источник изображения: geralt / Pixabay

Исследователи компании Binarly обнаружили, что количество моделей устройств, использующих скомпрометированные тестовые ключи платформы, возросло с 513 до 972. Среди затронутых производителей — Acer, Dell, Gigabyte, Intel, Supermicro, Aopen, Fornelife, Fujitsu, HP и Lenovo. Ключи, помеченные фразами «DO NOT TRUST» (НЕ ДОВЕРЯТЬ) в сертификатах, никогда не предназначались для использования в промышленных системах, однако оказались внедрены в сотни моделей устройств.

Платформенные ключи формируют криптографический якорь доверия (root-of-trust anchor) между аппаратным обеспечением и прошивкой. Они являются фундаментом для Secure Boot — отраслевого стандарта, обеспечивающего криптографическую защиту в предзагрузочной среде устройства. Интегрированный в UEFI (Unified Extensible Firmware Interface), Secure Boot использует криптографию с открытым ключом для блокировки загрузки любого кода, не подписанного предварительно одобренной цифровой подписью. Компрометация этих ключей подрывает всю цепочку безопасности, установленную Secure Boot.

Ситуация усугубилась после публикации в 2022 году на GitHub закрытой части одного из тестовых ключей. Это открыло возможность для проведения сложных атак с внедрением руткитов в UEFI устройств, защищённых Secure Boot. Количество моделей, использующих этот конкретный скомпрометированный ключ, выросло с 215 до 490. Всего исследователи выявили около 20 различных тестовых ключей, четыре из которых были обнаружены недавно.

Анализ 10 095 уникальных образов прошивок, проведённый с помощью инструмента Binarly, показал, что 8 % (791 образ) содержат непроизводственные ключи. Проблема затрагивает не только персональные компьютеры, но и медицинские устройства, игровые консоли, корпоративные серверы и критически важную инфраструктуру.

Ранее все обнаруженные ключи были получены от компании AMI, одного из трёх основных поставщиков комплектов средств разработки (SDK) программного обеспечения (ПО), которые производители устройств используют для настройки прошивки UEFI, чтобы она работала на их конкретных аппаратных конфигурациях. С июля Binarly обнаружил ключи, принадлежащие конкурентам AMI — компаниям Insyde и Phoenix. Binarly также обнаружила, что следующие три производителя также продают устройства, пострадавшие от PKfail:

• Hardkernel Odroid-H2, Odroid-H3 и Odroid-H4
• Beelink Mini 12 Pro
• Minisforum HX99G

Уязвимости присвоены идентификаторы CVE-2024-8105 и VU#455367. PKfail не представляет угрозы для устройств, не использующих Secure Boot, но подрывает безопасность систем, где эта защита обязательна — например, у государственных подрядчиков и в корпоративных средах.

Российский разработчик антивирусного ПО «Доктор Веб» (Dr.Web) сообщил о кибератаке на свою внутреннюю сеть, осуществлённой неизвестной стороной в минувшие выходные. После обнаружения «признаков несанкционированного вмешательства» в свою ИТ-инфраструктуру компания отключила все серверы от внутренней сети. Dr.Web также была вынуждена прекратить доставку обновлений вирусных баз клиентам в понедельник на время расследования инцидента.

Источник изображения: Bleeping Computer

«В субботу 14 сентября специалисты "Доктор Веб" зафиксировали целевую атаку на ресурсы компании. Попытка навредить нашей инфраструктуре была своевременно пресечена. На данный момент в соответствии с протоколом безопасности все ресурсы отключены от сети с целью проверки. В связи с этим временно приостановлен выпуск вирусных баз Dr.Web. Следуя установленным политикам безопасности, мы отключили все наши серверы от сети и начали комплексную диагностику безопасности», — заявил разработчик антивирусного ПО.

В новом заявлении, опубликованном в среду, Dr.Web сообщила, что обновление вирусной базы данных возобновилось во вторник. В компании добавили, что нарушение безопасности не затронуло ни одного из её клиентов.

«Для анализа и устранения последствий инцидента мы реализовали ряд мер, включая использование Dr.Web FixIt! для Linux. Собранные данные позволили нашим экспертам по безопасности успешно изолировать угрозу и гарантировать, что наши клиенты не пострадают от неё», — заявила компания.

Dr.Web не первая российская компания, занимающаяся вопросами кибербезопасности, которая сама подверглась кибератакам за последние годы. Как пишет портал Bleeping Computer, в июне этого года хакеры взломали серверы российской компании по информационной безопасности Avanpost, украли и опубликовали, как они утверждали 390 Гбайт данных и зашифровали более 400 её виртуальных машин.

В июне 2023 года компания Kaspersky Lab также сообщила, что использующиеся её сотрудниками смартфоны iPhone были заражены шпионским ПО через эксплойты iMessage zero-click, нацеленные на уязвимости iOS нулевого дня в рамках кампании, которая теперь известна как «Операция “Триангуляция”». На тот момент в компании также заявили, что атаки, затрагивающие её московский офис и сотрудников в разных странах, начались ещё с 2019 года и продолжаются до сих пор.

Новая модель OpenAI под названием o1, согласно исследованию фирмы Apollo, демонстрирует необычное поведение — способность генерировать ложную информацию и симулировать выполнение правил. Это означает, что модель, внешне следуя инструкциям, фактически может их игнорировать и даже сознательно обманывать, для достижения целей. Этот аспект вызывает беспокойство у специалистов по безопасности ИИ, несмотря на улучшенные когнитивные способности ИИ-модели.

Источник изображения: Chris_and_Ralph / Pixabay

В преддверии выпуска новой «думающей» модели o1 компанией OpenAI фирма Apollo выявила заметную проблему: ИИ-модель производит некорректные результаты новым способом, а фактически «лжёт». Хотя ранее ИИ-модели могли выдавать ложную информацию, o1 обладает уникальной способностью к «манипуляции» или «имитации выравнивания». Генеральный директор Apollo Мариус Хоббхан (Marius Hobbhahn) сообщил, что впервые столкнулся с таким поведением ИИ и считает, что разница связана со способностью модели «рассуждать» через процесс цепочки мыслей и сочетанием этого с обучением с подкреплением, которое обучает систему с помощью поощрений и наказаний. Одним из направлений, в которые он надеется увидеть больше инвестиций, является именно мониторинг цепочек мыслей, что позволит разработчикам выявлять нежелательные действия ИИ.

Во время тестирования специалисты Apollo обнаружили, что ИИ-модель симулировала согласованность с ожиданиями разработчиков и манипулировала задачами, чтобы казаться соответствующей поставленным требованиям. Она даже проверяла, следят ли за ней разработчики, перед тем как начать действовать. В итоге ИИ-модель следовала установленным правилам и инструкциям настолько, чтобы ею можно было пользоваться, но, одновременно с этим, продолжала сама определять приоритеты своих задач. Это связано с тем, что для ИИ правила могут быть слишком тяжёлым бременем, и машина, похоже, способна пренебречь ими, если это позволит легче выполнить задачу.

В качестве примера исследователи OpenAI попросили o1-preview предоставить рецепт пирожного с онлайн-ссылками. Цепочка мыслей ИИ-модели — функция, которая должна имитировать то, как люди разбивают сложные идеи, — внутренне признала, что не может получить доступ к URL-адресам, что делало запрос исследователей невыполнимым. Однако вместо того чтобы сообщить об этом недостатке, o1-preview сгенерировала правдоподобные, но фальшивые ссылки и их описания.

ИИ-модель o1 — это большой шаг на пути к высокоинтеллектуальным автономным системам, которые смогут, например, лечить рак или помогать в исследовании климата. Однако обратная сторона этой утопии может быть гораздо более мрачной. Хоббхан приводит пример: если ИИ будет сосредоточен исключительно на лечении рака, он может поставить эту цель превыше всего, даже оправдывая такие действия, как воровство или другие этические нарушения для её достижения.

Согласно отчёту по безопасности, примерно в 0,38 % случаев модель o1-preview предоставляет информацию, которую её цепочка мыслей считает вероятно ложной, включая фальшивые ссылки или цитаты. Apollo обнаружила, что ИИ-модель может фабриковать данные вместо признания своей неспособности выполнить запрос. В редких случаях (0,02 %) o1-preview генерирует чрезмерно уверенные ответы, представляя сомнительную информацию как достоверную. Это может происходить в ситуациях, когда ИИ подталкивают дать ответ, несмотря на отсутствие уверенности в его корректности.

Это поведение может быть связано со «взломом вознаграждения» во время обучения с подкреплением. Модель обучена отдавать приоритет удовлетворению пользователя, что иногда приводит к генерации согласованных или сфабрикованных ответов для удовлетворения запросов. Таким образом, модель может «лгать», поскольку усвоила, что это приносит ей положительное подкрепление.

Что отличает эти новые ложные ответы от привычных проблем, таких как галлюцинации или фальшивые цитаты в более ранних версиях ChatGPT, так это элемент «взлома вознаграждения». Галлюцинации возникают, когда ИИ непреднамеренно генерирует неверную информацию из-за пробелов в знаниях или ошибочного рассуждения. В отличие от этого, взлом вознаграждения происходит, когда ИИ-модель o1 стратегически предоставляет неверную информацию, чтобы максимизировать результаты, которые она была обучена определять как приоритетные.

Согласно отчёту по безопасности, o1 имеет «средний» риск в отношении химического, биологического, радиологического и ядерного оружия. Она не позволяет неспециалистам создавать биологические угрозы из-за отсутствия практических лабораторных навыков, но может предоставить ценную информацию экспертам для воспроизведения таких угроз.

«Меня больше беспокоит то, что в будущем, когда мы попросим ИИ решить сложные проблемы, например, вылечить рак или улучшить солнечные батареи, он может настолько сильно усвоить эти цели, что будет готов нарушить свои защитные механизмы, чтобы достичь их. Я думаю, что это можно предотвратить, но мы должны следить за этим», — подчеркнул Хоббхан.

Эти опасения могут показаться преувеличенными для ИИ-модели, которая иногда всё ещё испытывает трудности с ответами на простые вопросы, но глава отдела готовности OpenAI Хоакин Киньонеро Кандела (Joaquin Quiñonero Candela) считает, что именно поэтому важно разобраться с этими проблемами сейчас, а не позже. «Современные ИИ-модели не могут автономно создавать банковские счета, покупать GPU или предпринимать действия, представляющие серьёзные риски для общества. Мы знаем из оценок автономности ИИ-моделей, что мы ещё не достигли этого уровня», — отметил Кандела.

Кандела подтвердил, что компания уже занимается мониторингом цепочек мыслей и планирует расширить его, объединив модели, обученные выявлять любые несоответствия, с работой экспертов, проверяющих отмеченные случаи, в паре с продолжением исследований в области выравнивания. «Я не беспокоюсь. Она просто умнее. Она лучше соображает. И потенциально она будет использовать эти рассуждения для целей, с которыми мы не согласны», — резюмировал Хоббхан.

Как известно, современные автомобили не обладают полным автопилотом, как бы Tesla не пыталась убедить нас в обратном, и самостоятельно они способны выполнять лишь часть задач, но отвлекаться от дороги водителю явно не стоит. Это не мешает пользователям такого рода систем пренебрегать правилами безопасности, как показало исследование IIHS.

Источник изображения: Mobileye

Страховой институт дорожной безопасности, чья деятельность финансируется участниками американского страхового рынка, проанализировал за месяц поведение пользователей двух систем активной помощи водителю, поставляемых в транспортных средствах Tesla (Autopilot) и Volvo (Pilot Assist) соответственно. Исследователи пришли к выводу, что водители при использовании таких систем довольно быстро начинают пренебрегать правилами безопасности и формально подходить к требованиям, предъявляемым разработчиками таких систем. Например, если от водителя требуется раз в несколько секунд касаться рулевого колеса, то он будет делать это без особой концентрации на дорожной обстановке, просто чтобы усыпить бдительность контролирующей его автоматики.

Водители довольно быстро адаптируются к предусмотренным разработчиками систем автопилота ограничениям, чтобы заниматься во время поездки делами, отвлекающими их от дороги. Системы, частично автоматизирующие процесс управления транспортными средствами, по мнению авторов исследования, нуждаются в более тщательной разработке условий, предотвращающих их некорректное и опасное использование. В случае с Tesla исследование подразумевало слежение за 14 пользователями, которые в общей сложности преодолели более 19 300 км с активированной системой Autopilot, на протяжении эксперимента сигнал о необходимости следить за дорогой применялся 3858 раза. В среднем водители реагировали на эти сигналы в течение трёх секунд, обычно прилагая некоторое усилие к рулевому колесу, чтобы избежать усугубления претензий со стороны автоматики.

В случае с Volvo наблюдение велось за 29 водителями, которые во время работы системы частичной автоматизации вождения Pilot Assist отвлекались от дороги 30 % времени. Этот показатель авторы исследования сочли «чрезмерно высоким». Ранее опрос IIHS, проведённый среди 600 водителей, выявил излишнюю уверенность респондентов в надёжности работы автоматики в 53 % случаев, если ориентироваться на пользователей бортовых систем GM. Среди водителей машин Tesla показатель достигал 42 %, а у водителей Nissan он не превысил 12 %. Авторы исследования тогда выразили мнение, что большинство водителей плохо понимают границы безопасного применения новых технологий.

OpenAI объявила о реорганизации своего комитета по безопасности и защите в независимый наблюдательный орган совета директоров. Новая структура получила беспрецедентные полномочия, включая право приостановки релизов ИИ-моделей по соображениям безопасности. Решение было принято по итогам 90-дневного анализа процедур и мер безопасности компании, отражая растущее внимание к этическим аспектам развития ИИ.

Источник изображения: sergeitokmakov / Pixabay

Согласно OpenAI, в трансформированный комитет, возглавляемый Зико Колтером (Zico Kolter), также входят Адам Д'Анджело (Adam D'Angelo), Пол Накасоне (Paul Nakasone) и Николь Селигман (Nicole Seligman). Примечательно, что Сэм Альтман (Sam Altman), генеральный директор OpenAI, больше не входит в его состав.

Новая структура будет получать информацию от руководства компании об оценке безопасности основных релизов ИИ-моделей и, вместе с полным составом совета директоров, будет осуществлять надзор за их запуском, включая право отложить релиз до устранения проблем с безопасностью. Полный состав совета директоров OpenAI также будет получать периодические брифинги по вопросам безопасности и защиты.

Структура нового комитета вызывает вопросы о степени его независимости, учитывая, что все его члены входят в состав совета директоров OpenAI. Это отличает его от наблюдательного совета Meta✴, члены которого полностью независимы от совета директоров корпорации. Наблюдательный совет Meta✴ обладает полномочиями пересматривать решения по контентной политике и выносить обязательные для исполнения решения, тогда как комитет OpenAI фокусируется лишь на оценке безопасности ИИ-моделей перед их выходом.

90-дневный анализ процессов безопасности OpenAI выявил дополнительные возможности для сотрудничества в индустрии ИИ и обмена информацией. Компания заявила о намерении расширить обмен данными о своей работе в области безопасности и увеличить возможности для независимого тестирования систем. Однако конкретные механизмы реализации этих намерений пока не раскрыты.

Microsoft раскрыла детали закрытого саммита по безопасности Windows Endpoint Security Ecosystem Summit, организованного в ответ на масштабный сбой Windows, произошедший в июле из-за некорректного обновления антивирусного ПО CrowdStrike. На нём компания обсудила с партнёрами разработку в Windows новой платформы, специально предназначенной для антивирусного мониторинга, вытесняя продукты безопасности из ядра операционной системы (ОС).

Источник изображения: Microsoft

Компания подчеркнула: «Хотя это не было совещанием для принятия решений, мы верим в важность прозрачности и взаимодействия с сообществом». Примечательно, что саммит был закрыт для журналистов, что подчёркивает его техническую направленность.

Ключевой причиной июльского инцидента стал привилегированный доступ антивирусного ПО к ядру Windows — критическому компоненту ОС. Этот механизм, позволяющий антивирусам эффективно отслеживать вредоносные изменения в глубинах системы, одновременно представляет потенциальную угрозу для её стабильности. В случае с CrowdStrike сбой в механизмах валидации обновлений позволил проскочить ошибке, что привело к сбою Windows на компьютерах по всему миру.

Изначально Microsoft рассматривала возможность полного отзыва доступа к ядру для сторонних программ, что могло бы трансформировать Windows в более закрытую ОС, подобную Apple macOS. Однако по итогам саммита компания отказалась от столь радикальных мер. Вместо этого Microsoft сосредоточится на разработке новой платформы, предоставляющей расширенные возможности безопасности вне режима ядра, тем самым пойдя на встречу своим клиентам и партнёрам.

На саммите Microsoft и её партнёры детально обсудили технические аспекты создания новой платформы. Ключевыми темами стали обеспечение производительности вне режима ядра, разработка механизмов защиты от несанкционированного доступа для программ безопасности и определение требований к сенсорам безопасности для антивирусного мониторинга. Microsoft подчеркнула долгосрочный характер проекта по разработке нового уровня безопасности Windows в тесном сотрудничестве с партнёрами по экосистеме.

Microsoft выпустила обновление безопасности для операционных систем Windows. В этот раз компания закрыла 79 уязвимостей, большинство из которых относятся к категориям «критическая» и «высокий риск». По словам Microsoft, четыре уязвимости из этого списка уже эксплуатируются в реальных условиях, поэтому компания советует скачать обновление безопасности как можно скорее.

Источник изображения: geralt / Pixabay

Большинство уязвимостей (67) встречаются на разных версиях Windows, включая Windows 10, Windows 11 и Windows Server. Версии Windows 7 и 8.1 больше не отображаются в отчётах безопасности Microsoft, но они также потенциально могут быть подвержены риску. При отсутствии веских причин, всё же следует рассмотреть возможность обновления до Windows 10 (22H2) или Windows 11 (23H2), чтобы продолжать получать актуальные обновления безопасности, отмечает Microsoft. Правда, следует помнить, что поддержка Windows 10 прекратится в 2025 году.

Последний патч безопасности также включает некоторые обновления для Windows 11 24H2, однако указанное крупное обновление операционной системы, чей выпуск ожидается этой осенью, по-прежнему проходит тестирование в рамках программы Windows Insider и пока недоступно для всех пользователей Windows 11.

Закрытые уязвимости нулевого дня

Как уже отмечалось выше, несколько уязвимостей безопасности уже эксплуатируются в реальных атаках. На данный момент идут споры о том, активно ли применяется одна из них, а именно CVE-2024-43461. Microsoft не предоставила дополнительную информацию об этих уязвимостях нулевого дня в своём последнем отчёте безопасности, однако о них рассказал эксперт по кибербезопасности Дастин Чайлдс (Dustin Childs) в блоге Zero Day Initiative. Чайлдс утверждает, что специалисты нашли уязвимость, позволяющую использовать поддельные данные. Об этом они сообщили в Microsoft, однако компания не включила её в список уязвимостей, которые используются в реальных условиях.

Ниже в таблице отмечены самые опасные уязвимости безопасности в отчёте Patch Day от Microsoft за сентябрь 2024 года. Примечание: RCE: Remote Code Execution — удалённое выполнение кода; EoP: Elevation of Privilege — повышение привилегий доступа; SFB: Security Feature Bypass — обход функций безопасности. Красным в таблице отмечены уязвимости, которые уже эксплуатируются в реальных условиях.

По словам Microsoft, уязвимость CVE-2024-38217 (обход функций безопасности) не только эксплуатируется, но и была известна заранее. Эта уязвимость затрагивает функцию Mark of the Web (MotW) в загруженных файлах, что позволяет обходить защитные механизмы.

Что касается CVE-2024-43491, то это единственная уязвимость, связанная с удалённым выполнением кода (RCE) среди четырех уязвимостей нулевого дня. Она влияет только на некоторые старые версии Windows 10 и может быть устранена только путём установки обновления KB5043936, а затем установки обновления KB5043083. Microsoft заявляет, что более новые версии Windows 10 не подвержены этой уязвимости.

Уязвимость CVE-2024-38014 (угроза повышения привилегий, EoP) существует в установщике Windows для всех поддерживаемых в настоящее время версий Windows, включая серверные выпуски. Злоумышленник используя эту уязвимость, может получить системные разрешения без взаимодействия с пользователем. Точный механизм неясен, но обычно злоумышленники объединяют уязвимости EoP с уязвимостями RCE для удаленного запуска вредоносного кода.

Другие критические уязвимости Windows

В отчёте также указаны несколько критических уязвимостей, одна из которых связана c Windows. Эти уязвимости пока не эксплуатировались в реальных условиях. RCE-уязвимость CVE-2024-38119 связана с функцией Network Address Translation (NAT) и требует, чтобы злоумышленник находился в той же сети, что и жертва. Это связано с тем, что NAT, как правило, не поддерживает маршрутизацию, что означает, что её нельзя эксплуатировать за пределами границы сети.

С Windows Remote Desktop Services связано семь уязвимостей, включая четыре уязвимости RCE (удалённое выполнение кода). Также в отчёте указаны по одной уязвимости в Microsoft Management Console (CVE-2024-38259) и Power Automate для десктопов (CVE-2024-43479).

Уязвимости Microsoft Office

Новый патч безопасности также исправляет 11 уязвимостей, связанных с продуктами Microsoft Office, включая одну уязвимость нулевого дня и две критические. Уязвимость обхода функций безопасности (CVE-2024-38226) была обнаружена неизвестным исследователем безопасности в Microsoft Publisher. Злоумышленники сразу же начали её эксплуатировать. Как сообщается, для этого злоумышленнику необходимо убедить пользователя открыть специально подготовленный файл в Publisher. В случае успеха макросы Office обходят правила и выполняется вредоносный код.

Microsoft также выделила две RCE-уязвимости в SharePoint Server (CVE-2024-38018, CVE-2024-43464), как «критические». Ещё одна RCE-уязвимость (CVE-2024-38227) в SharePoint Server и одна в Visio (CVE-2024-43463) отмечены, как «обладающие высоким риском».

Уязвимости SQL Server

В SQL Server было закрыто 13 проблем безопасности. Шесть из них относились к RCE-уязвимостям с рейтингом CVSS 8.8. Также компания закрыла три EoP-уязвимости и четыре утечки данных.

Обновления браузеров

Последнее обновление безопасности для браузера Microsoft Edge — версия 128.0.2739.63 от 3 сентября на основе Chromium 128.0.6613.120. Однако оно пока не появилось в отчёте по обновлению безопасности. Обновление Edge 128.0.2739.67 от 5 сентября исправляет только несколько ошибок. Google выпустила новое обновление безопасности Chrome 10 сентября. Оно закрывает несколько уязвимостей с высоким риском.

В WhatsApp обнаружена серьёзная уязвимость в функции конфиденциальности «Просмотр один раз». Согласно сообщению издания PCMag, баг в веб-версии мессенджера даёт возможность пользователям обходить ограничения и скачивать медиафайлы, отправленные с помощью этой функции.

Источник изображения: Grant Davies/Unsplash

Обычно при отправке фото или видео с помощью «Просмотра один раз» получатель может открыть его только через приложение WhatsApp на Android или iOS. Сохранение, пересылка или создание скриншотов при этом невозможны. При попытке открыть такое сообщение через веб-версию или десктопное приложение WhatsApp пользователь видит уведомление: «Вы получили фото для однократного просмотра. Для дополнительной конфиденциальности вы можете открыть его только на своём телефоне».

Однако, несмотря на заверения WhatsApp о дополнительной конфиденциальности, эта функция может быть легко взломана. Об этом заявил специалист по кибербезопасности Таль Беэри (Tal Be'ery), продемонстрировавший уязвимость в своём видео, записанном на macOS, и предоставившем результаты изданию TechCrunch. Суть недоработки заключается в том, что ссылка на медиафайл видна в коде страницы и может быть скопирована для последующего скачивания данных.

«Единственное, что может быть хуже отсутствия конфиденциальности, так это ложное чувство безопасности, когда пользователи верят в приватность определённых функций, хотя на самом никакой приватности нет, — заявил Беэри в своём отчёте. — В настоящее время функция "Просмотр один раз" в WhatsApp является примером несуществующей конфиденциальности и должна быть либо полностью исправлена, либо удалена».

Команда Беэри и издание TechCrunch уведомили компанию Meta✴ о проблеме. В ответ на запрос представитель Meta✴ заявил: «Мы уже работаем над обновлением функции "Просмотр один раз" в веб-версии и по-прежнему рекомендуем пользователям отправлять сообщения с ограниченным сроком действия только тем, кому они доверяют».

В конце января 2024 года Госдума в первом чтении приняла законопроект, который предполагает введение оборотных штрафов и уголовной ответственности для граждан, компаний и должностных лиц, допустивших утечку. По словам эксперта IT-права и кибербезопасности, управляющего RTM Group Евгения Царёва, вопрос защиты данных всегда был актуален. Но сегодня, когда своё внимание на него обратило ещё и государство, этот интерес будет только расти.

Однако, по мнению эксперта, не нужно переоценивать опасность от оборотных штрафов для коммерческих предприятий. «Российский бизнес функционирует в огромном поле неопределённости, на которое не может повлиять, а такой риск, как утечка данных, вполне реально обработать и снизить максимально. Вопрос в желании и/или необходимости. При этом нужно менять систему аккуратно и комплексно, — комментирует Евгений Царёв. — Например, инсайдер, который похитил базу работодателя, должен понести за это наказание. На противоправные действия сотрудников необходима адекватная реакция от правоохранительной и судебной систем. Вот так должны ставить вопрос организации перед властью, а не пытаться избежать штрафов».

В вопросах защиты данных между государством, бизнесом и гражданами необходим открытый диалог без резких изменений правил игры. При этом важной составляющей этой коммуникации должна стать двусторонняя обратная связь. Площадкой для такого диалога 24 октября 2024 года в конгресс-центре Soluxe (г. Москва) станет конференция «Сохранить всё: безопасность информации».

Организаторы ожидают более 1500 участников. В двух параллельных тематических потоках без фокуса на конкретных продуктах и маркетингового хайпа более 40 специалистов в сфере защиты данных объединятся для поиска ответов на злободневные вопросы информационной безопасности. Среди приглашённых спикеров — представители Минцифры, ФСТЭК России, Ассоциации больших данных, Ассоциации юристов России и других организаций, влияющих на сферу безопасности данных, эксперты ИБ-отрасли, а также опытные практики — CISO и CIO крупнейших компаний.

Таким образом, конференция станет масштабным пространством для дискуссий и агрегатором экспертизы по вопросам защиты данных.

Ознакомиться с информацией о конференции можно на сайте мероприятия saveall.garda.ai. Про приведённой ссылке также можно найти сведения о программе мероприятия и приглашённых спикерах, оставить заявку на участие и решить прочие организационные вопросы.

Специалисты по кибербезопасности из Израиля обнаружили новый способ кражи данных из изолированных компьютерных систем. Эти системы, используемые в таких важных структурах, как военные объекты, госучреждения и атомные электростанции, физически отрезаны от интернета для защиты от внешних угроз. Однако новая атака для перехватывания конфиденциальной информации, получившая название RAMBO, использует электромагнитное излучение, возникающее при работе RAM.

Источник изображения: Copilot

Несмотря на отсутствие прямого соединения с интернетом, пишет BleepingComputer, системы с воздушным зазором (Air-gapped) всё равно, как оказалось, подвержены компрометации. Злоумышленники могут внедрить вредоносное ПО через физические носители, например, USB-накопители, или воспользоваться более сложной цепочкой действий для установления связи с ПК. Вредоносное ПО, внедрённое в систему, может незаметно манипулировать компонентами оперативной памяти, генерируя контролируемые электромагнитные импульсы, передающие информацию с компьютеров.

Данные кодируются в радиочастотные сигналы, где «1» и «0» представляются как «включено» и «выключено». Для повышения надёжности передачи и снижения ошибок используется Манчестерский код, представляющий из себя абсолютное биимпульсное кодирование двоичным цифровым сигналом исходных двоичных данных. Хакер может перехватывать эти сигналы с помощью недорогих программных радиоприёмников (SDR) и декодировать их обратно в бинарный код. При этом скорость передачи данных при атаке RAMBO (Radiation of Air-gapped Memory Bus for Offense) невелика и достигает 1000 бит в секунду (bps), что эквивалентно 0,125 Кбайт/с. Однако, как отмечают исследователи, «этого достаточно для кражи небольших объёмов данных, таких как текст, нажатия клавиш и небольшие файлы». Например, для кражи пароля требуется от 0,1 до 1,28 секунды, а для 4096-битного зашифрованного ключа RSA — от 4 до 42 секунд.

Источник изображения: Arxiv.org

В свою очередь дальность передачи данных зависит от скорости передачи. На максимальной скорости (1000 бит в секунду) сигнал стабилен на расстоянии до 3 метров, но с увеличением расстояния растёт и вероятность ошибок. При снижении скорости до 500 бит в секунду и ниже дальность передачи может достигать 7 метров. Исследователи экспериментировали с более высокими скоростями, но обнаружили, что при скорости выше 5 Кбит/с сигнал становится слишком слабым и не способен надёжно передавать информацию. «Мы обнаружили, что скорость передачи данных не должна превышать 5000 бит в секунду, иначе сигнал становится слишком слабым и содержит много шумов», — сообщают авторы исследования.

В опубликованной научной работе предложены несколько способов защиты от атак RAMBO и других подобных методов. К ним относятся усиление физической защиты, подавление электромагнитных излучений, генерируемых оперативной памятью (RAM), внешняя радиочастотная помеха и использование экранирующих корпусов Фарадея для блокировки электромагнитного излучения. Исследователи также проверили эффективность атаки RAMBO на виртуальных машинах и обнаружили, что уязвимость работает даже в этой среде. Однако, взаимодействие оперативной памяти хост-системы с операционной системой и другими виртуальными машинами может привести к сбоям атаки. «Хотя мы показали, что атака RAMBO работает в виртуальных средах, взаимодействие с хост-системой может привести к её сбоям», — поясняют исследователи.

Архитектура Zen 5 компании AMD установила новые стандарты в мире процессоров, сочетая повышенную производительность и безопасность. Тесты Ryzen 9 9950X показали, что встроенная защита от уязвимости Inception не только устраняет необходимость в ресурсоёмких программных патчах, но и сохраняет свою производительность при активации других мер безопасности.

Источник изображения: AMD

Zen 5 проявила себя как архитектура, полностью невосприимчивая к уязвимости Inception без необходимости в исправлениях на уровне микрокода, операционной системы или приложений. Чтобы оценить реальное влияние различных мер безопасности на быстродействие, эксперты ресурса Phoronix провели тестирование процессора Ryzen 9 9950X на базе Zen 5 в среде Linux. Методология включала серию тестов с поочерёдным включением и отключением всех доступных программных средств защиты, что позволило создать полную картину производительности в различных сценариях безопасности.

Исследование Phoronix показало, что Zen 5 обладает встроенной аппаратной защитой от уязвимости Inception — спекулятивной атаки по побочным каналам, обнаруженной в 2023 году. Эта уязвимость, затрагивавшая процессоры на базе архитектур Zen 3 и Zen 4, позволяла злоумышленникам использовать механизмы спекулятивного исполнения для извлечения конфиденциальной информации из системной памяти. Потенциальная утечка привилегированных данных представляла серьёзную угрозу безопасности, что делало разработку эффективной защиты критически важной задачей для AMD.

В отличие от своих предшественников, процессоры на Zen 5 не нуждаются в ресурсоёмких программных патчах для противодействия этой уязвимости. Разница особенно заметна при сравнении с Zen 3: активация программных мер защиты от Inception на этой архитектуре могла привести к значительному падению производительности — до 54 % на определённых рабочих нагрузках.

Cравнительный анализ производительности процессоров AMD Zen 5 с включёнными и отключёнными мерами безопасности (источник изображения: Phoronix, Tom’s Hardware)

Парадоксально, но архитектуры предыдущих поколений AMD — Zen 1, Zen+ и Zen 2 — оказались невосприимчивыми к Inception. Этот примечательный факт объясняется особенностями реализации блока прогнозирования ветвлений в данных архитектурах. Их относительная «простота» неожиданно обернулась преимуществом, показав, что иногда менее агрессивные методы оптимизации могут оказаться более устойчивыми к определённым видам атак.

Несмотря на внедрение аппаратной защиты от Inception, процессоры на архитектуре Zen 5 всё ещё полагаются на программные меры для борьбы с другими уязвимостями, включая печально известную Spectre V1. Однако результаты тестов поражают: активация этих мер практически не влияет на производительность Zen 5. Это неожиданное открытие противоречит распространённому мнению о том, что любые дополнительные меры безопасности неизбежно снижают производительность процессора.

В России за первое полугодие 2024 года в открытый доступ попали 986 млн строк персональных данных (ПД), превысив на 33,8 % показатель первого полугодия 2023 года, пишут «Ведомости» со ссылкой на отчёт InfoWatch. Также выросло количество зарегистрированных случаев утечек — с 377 в аналогичном периоде прошлого года до 415 (рост — 10,1 %).

Источник изображения: TheDigitalArtist / Pixabay

Руководитель направления аналитики и специальных проектов экспертно-аналитического центра ГК InfoWatch Андрей Арсентьев отметил, что больше половины этого объёма пришлось на один инцидент, зарегистрированный Роскомнадзором (РКН), когда в Сеть утекли 500 млн строк данных. Однако ведомство не уточняет, какая организация оказалась в качестве жертвы.

Представитель Роскомнадзора сообщил, что в первом полугодии 2024 года было выявлено 46 случаев размещения баз данных, имеющих признаки утечек ПД, но вместе с тем не указал объём скомпрометированных данных. РКН учитывает только те утечки, по которым им было проведено расследование.

Лидерство по количеству утечек сохранилось за онлайн-ретейлом, на который за полгода пришлось 30,8 % зарегистрированных инцидентов, что значительно больше 19,6 % годом ранее. Как отметил Арсентьев, именно из-за стремительного роста количества утечек информации в торговле, где объектами атак зачастую выступают небольшие интернет-магазины со слабым уровнем информационной безопасности, произошёл общий рост количества утечек в России.

По данным «Инфосистемы джет», на интернет-магазины пришлось больше всего утечек — свыше 80 с более 45 млн строк данных. Арсентьев отметил, что также в первом полугодии выросла доля утечек данных в промышленности — с 3,7 % в прошлом году до 5,5 %. А в InfoWatch сообщили о продолжающейся тенденции к росту количества утечек из организаций малого бизнеса и от ИП.

Объектами хакеров становятся небольшие проекты, ограниченно инвестирующие в ИБ, говорит руководитель направления аналитических исследований Positive Technologies Ирина Зиновкина. К тому же в небольших компаниях игнорируют существующие проблемы с ИБ, утверждает заместитель директора Центра компетенций НТИ «Технологии доверенного взаимодействия» на базе ТУСУРа Руслан Пермяков.

Также возросло количество утечек в муниципальных органах власти и организациях, сообщил руководитель департамента расследований T.Hunter, эксперт рынка НТИ SafeNet Игорь Бедеров, объяснив тренд низким уровнем осведомлённости о киберугрозах, недостаточными инвестициями в безопасность и защиту данных, а также нередким использование неподходящих или устаревших средств защиты.

В InfoWatch отметили, что основной причиной роста числа утечек остаётся напряженная геополитическая обстановка и связанные с ней массированные атаки на российские компании и госсектор. Сообщается, что более 99 % утечек в России носят умышленный характер, на случайные нарушения пришлось всего 0,5 % инцидентов (годом ранее — 1,5 %).

Директор по продуктам Servicepipe Михаил Хлебунов назвал в числе причин увеличения числа утечек рост и масштабирование отечественных сервисов, пришедших на замену покинувшим российский рынок западным. «Освободившаяся ниша — это возможность стартовать для новых продуктов. Но бурный рост аудитории продукта требует внимания к обеспечению ИБ, что, в свою очередь, подразумевает наличие высококвалифицированных специалистов и средств защиты. Зачастую экономика быстро растущего проекта не имеет статьи затрат на ИБ, а если есть деньги, то наем может быть долгим — от шести месяцев», — говорит эксперт.

Вместе с тем снизилось число инцидентов в финансовом секторе, у госучреждений, а также IT-секторе, где стали активно инвестировать в безопасность, сообщил Арсентьев, добавив, что в 2024 году стали реже утекать крупные базы ПД: количество скомпрометированных баз объёмом от 1 млн записей сократилось в России на 44,6 % (с 56 до 31), объёмом от 10 млн — на 35,7 % (с 14 до 9). По данным DLBI, за отчётный период число крупных утечек сократилось в 3 раза с 60 до 20.

В свою очередь, Бедеров отметил тенденцию к улучшению ИБ в крупных российских организациях в последние годы, в том числе внедрение многофакторной аутентификации, шифрование данных, а также проведение регулярных аудитов безопасности.

За первые семь месяцев 2024 года в России было зарегистрировано 577 тысяч IT-преступлений, из которых 437 тысяч были связаны с мошенничеством и хищениями, сообщили «Ведомости» со ссылкой на выступление заместителя начальника Следственного департамента МВД Даниила Филиппова в рамках сессии «Цифровая безопасность и ответственность бизнеса» на Восточном экономическом форуме. Он отметил, что преступления в сфере IT составляют больше 30 % от их общего количества.

Источник изображения: TheDigitalArtist / Pixabay

Ущерб от подобных преступлений уже достиг 99 млрд рублей с начала года, тогда как в прошлом году ущерб от преступлений, связанный с IT-технологиями и при их помощи, оценивается в 156 млрд рублей, рассказал Филиппов.

В свою очередь, начальник отдела по надзору за исполнением законов в сфере информационных технологий и защиты информации Генпрокуратуры Олег Кипкаев отметил, что за последние 2,5 года средствами надзора были устранены почти 155 тысяч нарушений нормативных требований в сфере цифровых технологий, электронных систем и защиты информации, в том числе при функционировании объектов критической информационной инфраструктуры в органах власти, учреждениях и организациях. Также в этом году был заблокирован доступ почти к 40 тысячам ресурсов, нарушающих законодательство (фишинговые атаки, предложения о продаже поддельных документов).

Кипкаев подчеркнул, что выявляемые нарушения свидетельствуют об уязвимости конфиденциальной информации в цифровом пространстве, в связи с чем необходимо внедрять более эффективные меры её защиты. Говоря об обработке персональных данных, работник Генпрокуратуры отметил, что «коммерческие организации стремятся накапливать такие данные при минимальных расходах на информационную безопасность». По-прежнему является проблемой принуждение компаниями граждан к согласию на обработку персональных данных, из-за чего те зачастую лишены выбора. «Нужно исключить избыточный сбор информации и перейти к принципу уничтожения данных после достижения целей их сбора», — заявил Кипкаев.

Член комитета Госдумы по информационной политике, информационным технологиям и связи Антон Немкин сообщил, что самыми уязвимыми с точки зрения кибербезопасности остаются регионы, объяснив это отсутствием возможности обучать сотрудников и проводить профилактическую работу по кибербезопасности. По его словам, субъекты РФ ежедневно теряют несколько десятков миллионов рублей, которые поступают от граждан мошенникам из-за отсутствия у людей элементарных знаний о цифровой гигиене.

В свою очередь, депутат Госдумы, член комитета по развитию Дальнего Востока и Арктики Николай Новичков предупредил о грядущих угрозах, исходящих от искусственного интеллекта. «Ещё всё впереди, и мы даже представить не можем, какие преступления может совершать искусственный интеллект, потому что его возможности растут в геометрической прогрессии», — заявил он.

Подытоживая дискуссию, сенатор Артем Шейкин обратил внимание участников сессии на ещё одну проблему в сфере киберпреступлений, касающуюся возмещения вреда, нанесённого гражданам. По его словам, оборотные штрафы не гарантируют в полной мере возмещения за похищенные данные ни морального, ни материального ущерба. Поэтому в Совфеде сейчас обсуждается инициатива о необходимости наличия у компаний, оперирующих данными, финансового обеспечения, «чтобы у них в случае утечки данных была возможность для выплат гражданам морального ущерба».