На прошлой неделе на конференции Lenovo Transform среди множества новых предложений для центров обработки данных компания объявила о партнёрстве с американским поставщиком систем хранения данных NetApp для создания продукта специально для китайского рынка.

Журналисты The Inquirer предположили, что уникальный для Китая продукт создаётся с единственной целью: внедрения бэкдоров, и воспользовались возможностью поговорить об этом с техническим директором и главой стратегии бизнеса Lenovo в области ЦОД Питером Хортенсиусом (Peter Hortensius).

Представитель компании начал с общих фраз: «Мы глобальная компания. Наша философия сформировалась очень давно. Мы хотим нанимать на рабочие места местных жителей. Все наши руководители работают в своих родных странах, кроме меня, я канадец в США. Мы делаем это совершенно сознательно, не только для упрощения коммуникаций, но и для того, чтобы лучше понимать, как действовать в местных условиях. Это означает, что мы можем уважать местные законы. Например, если региональные требования заставляют считаться с чужой интеллектуальной собственностью или расплачиваться за последствия, мы уважаем это требование».

Дабы не ходить вокруг да около, журналисты спросили прямо: будет ли Lenovo внедрять лазейки, если об этом попросит китайское правительство? И получили ответ: «Если они затребуют бэкдоры по всему миру, мы их не станем внедрять. Если же им понадобятся лазейки для Китая, давайте просто признаем, что любая интернациональная компания в Китае делает то же самое. Мы соблюдаем местные законы. Если они требуют, чтобы мы не добавляли чёрных ходов, мы этого не делаем. И мы не просто соблюдаем законы, а следуем этике и духу законов. Точно так же, если страны желают иметь доступ — и это не только Китай, таких стран больше — им предоставляют то, что они просят».

Нельзя сказать, что Lenovo готова выполнить все требования Китая, тем не менее следует учитывать, что китайские серверы не могут гарантировать полную защиту информации, как, впрочем, и в ряде других стран — о чём говорил представитель компании. Lenovo старается подчеркнуть, что её серверы распространяются локально и поэтому остальные клиенты и партнёры ничем не рискуют. Но производителям, включая Lenovo, вероятно, придется заплатить свою цену за ведение бизнеса в стране с крупнейшим населением.

Стало известно об ещё трёх уязвимостях процессоров Intel, которые могут использоваться вредоносным ПО и виртуальными машинами для похищения секретной информации из компьютерной памяти. Речь, в частности, может идти о паролях, личных и финансовых записях и ключах шифрования. Они могут быть извлечены из других приложений и даже защищённых хранилищ SGX и памяти в режиме SMM (System Management Mode). Уязвимы ПК, настольные системы и серверы.

REUTERS/Mike Blake

Эти уязвимости, связанные с механизмом спекулятивных вычислений, были обнаружены исследователями ещё в январе, и тогда же Intel была проинформирована. В официальном блоге ведущий производитель процессоров для ПК и серверов сообщил, что в сочетании с обновлениями, выпущенными ранее в этом году, новые представленные сегодня заплатки смогут защитить пользователей от очередных уязвимостей. «Нам неизвестны случаи использования любого из этих методов в реальной обстановке для кражи данных, но это ещё раз напоминает о необходимости всем придерживаться основных правил безопасности», — отметила Intel.

Компания назвала этот набор уязвимостей L1TF (L1 Terminal Fault) и отметила, что два варианта атак можно закрыть с помощью уже доступных сейчас обновлений. А третий, который затрагивает лишь часть пользователей, — например, определённые центры обработки данных, — может потребовать дополнительных мер защиты.

Всего упомянуто три варианта атак: CVE-2018-3615 (извлечение данных из памяти анклавов Intel SGX), CVE-2018-3620 (извлечение данных из SMM и областей памяти ядра ОС) и CVE-2018-3646 (утечка данных из виртуальных машин). Уязвимости используют то обстоятельство, что при доступе к памяти по виртуальному адресу, приводящему к исключению (terminal page fault) из-за отсутствия флага Present в таблице страниц памяти (PTE), процессоры Intel спекулятивно рассчитывают физический адрес и загружают данные, если они имеются в L1-кеше. Спекулятивные расчёты производятся до проверки наличия данных в физической памяти и их доступности для чтения. Потом, в случае отсутствия флага Present в PTE операция отбрасывается, но информация оседает в кеше и её можно извлечь по сторонним каналам. Опасность L1TF состоит в том, что можно определить данные по любому физическому адресу (например, атаковать основную ОС из гостевой системы).

Исследователи, выявившие уязвимость, назвали её Foreshadow. «Когда вы смотрите на то, что с помощью Spectre и Meltdown взломать невозможно, то среди немногих областей остаются анклавы Intel Software Guard Extensions (SGX), — сказал Wired участник открытия Foreshadow Даниэль Генкин (Daniel Genkin). — SGX оставался неподвластен Spectre, поэтому наша работа в этом направлении была следующим логическим шагом».

AMD тоже прокомментировала ситуацию, сообщив на странице безопасности, посвящённой Specre-подобным уязвимостям: «Как и в случае с Meltdown, мы полагаем, что наши процессоры из-за архитектуры аппаратной защиты страниц памяти не подвержены новым вариантам атаки спекулятивного исполнения, называемым Foreshadow или Foreshadow-NG. Мы советуем клиентам, работающим с процессорами EPYC в своих центрах обработки данных, в том числе в виртуализированных средах, не устанавливать заплатки программного обеспечения для Foreshadow на свои платформы AMD». Совет этот не будет лишним, ведь подобные обновления безопасности могут снижать производительность систем.

Со времени публикации первоначальной информации о трёх видах уязвимостей CPU, связанных со спекулятивными вычислениями (под общим именем Meltdown и Spectre), был раскрыт целый ряд новых аналогичных вариантов атак — например, CVE-2018-3639, BranchScope, SgxSpectre, MeltdownPrime и SpectrePrime, Spectre 1.1 и 1.2 или SpectreRSB. Исследователи не исключают обнаружения новых видов подобных уязвимостей.

После первоначального обнародования сведений о Spectre и Meltdown Intel расширила свою программу стимулирования выявления уязвимостей и ошибок, открыв её для большего количества исследователей в области безопасности и предложив более крупные денежные вознаграждения.

Эксперты Positive Technologies выявили опасную уязвимость в распространённых в России банкоматах NCR, которая позволяет злоумышленникам произвести незаконную выемку средств.

О проблеме рассказала газета «Коммерсантъ». Схема атаки сводится к установке на контроллер диспенсера (сейфовой части для выдачи купюр) устаревшего программного обеспечения. Уязвимость связана с недостаточной защитой механизма записи памяти.

Злоумышленники, как отмечается, могут подключить одноплатный компьютер к диспенсеру, используя недостатки защиты сервисной зоны банкомата, и отправить команду на снятие наличных.

Американская компания NCR была поставлена в известность о наличии «дыры» в банкоматах более полугода назад. В феврале нынешнего года было выпущено обновление программного обеспечения, в котором брешь устранена.

Однако российские банки, использующие устройства NCR, апдейт ещё не осуществили. Сложность заключается в том, что обновление необходимо устанавливать вручную на каждый банкомат.

«Обновление достаточно сложное, потребуется подключаться к каждому устройству, а это весьма проблематично, учитывая большую территориальную распределённость банкоматов», — говорят эксперты.

Добавим, что, по оценкам, только на сервисном обслуживании компании NCR в России находятся более 40 тыс. банкоматов. 

Исследование, проведённое компанией ESET, позволяет говорить о том, что количество киберугроз, нацеленных на платформу Android, сокращается.

Так, в первые шесть месяцев 2018 года были обнаружены 348 уязвимостей для Android — это 41 % от общего числа «дыр», найденных в прошлом году. Таким образом, можно сделать вывод, что ситуация с безопасностью Android-устройств постепенно улучшается.

Отмечается также, что только четверть Android-багов 2018 года являются критическими. Это меньше доли уязвимостей данной категории, которые были обнаружены специалистами в предыдущие годы.

Общее число обнаружений Android-угроз сократилось на 27,48 % в сравнении с аналогичным периодом прошлого года и на 12,87 % в сравнении со второй половиной 2017 года.

Впрочем, злоумышленники продолжают активно атаковать владельцев Android-гаджетов. В настоящее время ежемесячно появляются около 300 новых образцов вредоносного кода для Android.

Причём сетевые злоумышленники разрабатывают качественно новые преступные схемы с использованием Android. К примеру, недавно была зафиксирована атака криптомайнеров на смарт-телевизоры на базе Android TV. 

Исследователи обнаружили ещё одну уязвимость, связанную с атаками по сторонним каналам спекулятивного исполнения команд, позволяющую злоумышленникам получать доступ к конфиденциальным данным на уровне CPU. Новый эксплойт Spectre-класса, получивший название SpectreRSB, был подробно описан исследователями из Калифорнийского университета в Риверсайде в их опубликованной научно-исследовательской работе. Хотя уязвимость затрагивает по-прежнему процесс спекулятивного исполнения команд, в отличие от других вариантов, она нацелена на новую часть процесса, называемую буфером возврата из стека (RSB, Return Stack Buffer).

«В этой статье мы представляем новое направление Spectre-подобных атак, которое не закрывается уже выпущенными заплатками, — сообщил в своей работе исследователь безопасности Наэль Абу-Газале (Nael Abu-Ghazaleh). — В частности, атаки используют буфер возврата из стека (RSB), чтобы вызвать спекулятивное выполнение и получить доступ к конфиденциальной информации».

Принцип работы спекулятивного исполнения команд позволяет производить атаку злоумышленнику с локальным пользовательским уровнем доступа. Со времени обнародования уязвимостей Metldown и Spectre в январе был раскрыт целый ряд альтернативных вариантов, но почти все они были нацелены на блок предсказателя ветвлений или кеш-память CPU.

«RSB можно рассматривать как ещё один предсказатель ветвлений, используемый для инструкций возврата (тогда как основной предсказатель применяется для инструкций ветвления)... Итак, эта атака похожа на Spectre, но с другой отправной точкой, которая имеет некоторые свои особенности», — отметил исследователь.

С помощью вредоносного кода можно «загрязнить» RSB, подставив нужный адрес возврата и хотя затем CPU отбракует неверно выполненные инструкции, злоумышленные получат возможность восстановить данные защищённого потока из кеша. При этом, как отмечают исследователи, этот механизм проще, чем атака на предсказатель ветвлений. SpectreRSB также позволяет извлекать данные в том числе из защищённых областей Intel SGX.

По словам исследователей, об уязвимости были проинформированы Intel, AMD и ARM — все их современные процессоры используют RSB для предсказания адресов возврата. Они также добавили, что новая уязвимость не закрывается ни одной из существующих заплаток или обновлений микрокода и требует дополнительных мер.

Однако Intel утверждает, что это не так. «Атака SpectreRSB связана с манипуляцией целевым кешем адресов ветвлений (CVE-2017-5715, branch target injection), и мы ожидаем, что описанные в этой работе уязвимости будут закрыты тем же образом, — сказал представитель Intel. — Мы уже опубликовали руководство для разработчиков в техническом документе „Борьба с атаками по сторонним каналам спекулятивного исполнения“. Мы благодарны за текущую работу исследовательского сообщества, поскольку мы совместно трудимся, чтобы защитить пользователей».

Помимо других заплаток, исследователи UC-Riverside заявили, что уже существует специальная защита для борьбы с SpectreRSB, получившая название «Перезаполнение RSB» — в настоящее время она доступна для чипов Intel Core i7 (начиная с семейства Skylake). Впрочем, этот метод несколько замедляет работу буфера.

Со времени публикации первоначальной информации о трёх видах уязвимостей CPU, связанных со спекулятивными вычислениями (под общим именем Meltdown и Spectre), был раскрыт целый ряд новых аналогичных вариантов атак — например, CVE-2018-3639, BranchScope, SgxSpectre, MeltdownPrime и SpectrePrime, Spectre 1.1 и 1.2. Исследователи не исключают обнаружения новых видов подобных атак, в том числе нацеленных на RSB.

Исследование, проведённое специалистами компании Positive Technologies, говорит о том, что роботы-пылесосы с подключением к Интернету теоретически могут использоваться злоумышленниками для скрытого наблюдения за обитателями жилища.

Некоторые роботизированные пылесосы оснащаются видеокамерой, что позволяет владельцам удалённо наблюдать за своим домом через Интернет. Однако эта особенность может сыграть на руку преступникам.

Взломав программную часть пылесоса, злоумышленники получат высокотехнологичный шпионский инструмент. Устройство можно передвигать в нужную часть дома, вести видеонаблюдение и перехватывать данные в сетевом трафике.

Специалисты Positive Technologies уже обнаружили уязвимости, открывающие возможности для шпионажа, в роботах-пылесосах Dongguan Diqee 360. Проблемам могут быть также подвержены пылесосы, выпускаемые фирмой Dongguan Diqee для других компаний.

Более того, эксперты полагают, что уязвимости могут присутствовать в других IoT-устройствах на базе видеомодулей, использованных в пылесосах Dongguan Diqee 360. Это могут быть, скажем, камеры наружного видеонаблюдения, видеорегистраторы, «умные» дверные звонки и пр.

«Владельцы IoT-устройств не всегда меняют логин и пароль, установленные производителем. Проблема касается даже роутеров, где в 15 случаях из 100 оставляют заводские пароли. Поэтому исследованный пылесос, как и любой IoT-девайс, может пополнить армию ботнетов для участия в DDoS-атаках», — говорят специалисты Positive Technologies. 

Meltdown, Spectre и подобные им критические уязвимости современных центральных процессоров будут иметь негативные последствия для всей компьютерной отрасли ещё долгие годы. Например, в 67-й версии Google Chrome для всех пользователей была включена защита от ошибки Spectre «Изоляция сайта», в результате чего веб-обозреватель стал потреблять на 10–13 % больше оперативной памяти.

Заплатка заставляет Chome создавать больше процессов визуализации. Каждый такой процесс стал более коротким и вызывает меньше внутренних конфликтов, но из-за увеличения их числа происходит перерасход памяти. Это заметный удар по эффективности браузера, и без того имевшего повышенный аппетит к памяти. Путём эксплуатации уязвимостей в алгоритмах предсказания ветвлений Spectre позволяет злоумышленникам получать доступ к защищенной информации в кеш-памяти процессора, что может привести к утечке таких чувствительных для безопасности данных, как пароли, ключи шифрования или информация личного характера.

«Изоляция сайта — крупное изменение в работе Chrome, которое ограничивает каждый процесс визуализации материалами с одного сайта. …Это означает, что даже если атака Spectre будет осуществлена на вредоносном сайте, данные с других открытых сайтов, при общих условиях, не будут загружаться в тот же процесс, и поэтому злоумышленникам будет доступно меньше информации. Это существенно снижает угрозу Spectre», — пояснил Чарли Рейс (Charlie Reis) из Google.

Защита «Изоляция сайта» была доступна в качестве экспериментальной функции с 63-й версии, выпущенной вскоре после раскрытия уязвимостей Meltdown и Spectre, а теперь она активирована у 99 % пользователей Chrome на всех платформах. Команда разработчиков продолжает усердно работать над оптимальным компромиссом между быстродействием и безопасностью.

Возможность обезопасить компьютер от утечек информации дорого стоит, и подобные заплатки в конечном счёте затронут очень многие аспекты. Причём чем выше требования к конфиденциальности, тем больший урон производительности можно ожидать в современных и, особенно, более старых поколениях процессоров.

Не зря специалисты назвали ключевые уязвимости современных CPU, связанные со спекулятивными вычислениями, именем Spectre — эти призраки, похоже, ещё долго будут бродить по миру и терзать IT-индустрию. По крайней мере, корпорация Intel выплатила $100 тысяч за выявление очередной уязвимости её процессоров, связанной с утечками важных данных и близкой к Spectre 1 (CVE-2017-5753 или bounds check bypass — обход проверки границ).

Эта внушительная цифра выплат была обнародована через платформу поиска уязвимостей Hacker One и почти сразу привлекла внимание наблюдателей в области безопасности. Затем в Twitter было дано пояснение, что речь идёт о новой уязвимости процессоров Intel, которой был присвоен идентификатор CVE-2018-3693.

Стало также известно, что Intel поблагодарила Владимира Кирианского (Vladimir Kiriansky) из Массачусетского технологического института и Карла Вальдспургера (Carl Waldspurger) из Carl Waldspurger Consulting за сообщение о проблеме и координированную работу с индустрией по раскрытию информации о новой уязвимости. Чуть позже была опубликована и работа этих исследователей.

Согласно документу, на самом деле специалисты выявили две новых вариации первоначальной уязвимости Spectre 1. Они назвали их Spectre1.1 и Spectre1.2, однако именно Spectre 1.1, похоже, является наиболее проблемной, получившей собственный номер CVE. Исследование было проведено ещё в феврале 2018 года. Сейчас Intel уже обновила документацию по Spectre, включив в неё как описание нового варианта атаки, так и способы программной борьбы с ним.

Директор Oracle по обеспечению безопасности Эрик Морис (Eric Maurice) подтвердил, что его фирма обдумывает собственные программные заплатки. «Сегодня было заявлено о новой уязвимости процессоров. Уязвимость CVE-2018-3693 («Bounds Check Bypass Store» или BCBS) тесно связана с Spectre 1, — отметил он. — Как и в предыдущих вариациях Spectre и Meltdown, Oracle активно взаимодействует с Intel и другими отраслевыми партнёрами для разработки технических исправлений против этого варианта атаки CPU».

Господин Морис отметил, что новые варианты уязвимостей, использующие те же принципы, что и Spectre или Meltdown, весьма вероятны, ожидаемы и наверняка будут выявлены в обозримом будущем. «К счастью, условия использования этих архитектурных проблем остаются одинаковыми: злоумышленники вначале должны получить привилегии, необходимые для установки и исполнения вредоносного кода на целевых системах», — подчеркнул он.

Исследователи выразили убеждение, что проблема с перекрытием спекулятивных буферов Spectre1.1 может быть полностью исправлена аппаратными средствами. По их словам, будущие чипы полностью закроют возможность подобных методов атак без особого влияния на производительность.

Стоит отметить, что ещё не было обнаружено вредоносного ПО, производящего успешные атаки с помощью дыр Spectre и Meltdown, не говоря уже о различных новых вариантах. То же касается и Spectre-подобных методов, которые были выявлены с января (CVE-2018-3639, BranchScope, SgxSpectre, MeltdownPrime и SpectrePrime). Просто заплатки уже достаточно широко установлены, что сильно усложняет атаки; вдобавок последние крайне сложны в использовании и не стоят затрачиваемых усилий, ведь существует множество более простых ошибок, дающих возможность повысить привилегии зловреда и использовать их для доступа к ядру или другому защищённому ПО.

Официальное заявление корпорации Intel об обнаруженной уязвимости:

«Мы продолжаем работать вместе с исследователями по безопасности, партнёрами и участниками академического сообщества над тем, чтобы защитить наших заказчиков от новых угроз безопасности, и, по мере возможности, мы стараемся упростить публикацию новой информации о безопасности, а также соответствующих рекомендаций для наших партнеров по отрасли и для заказчиков. С учётом этого сегодня мы публикуем подробности об устранении целого ряда потенциальных проблем, в том числе о разновидности уязвимости Variant1, получившей название Bounds Check Bypass Store, по которой уже были опубликованы соответствующие рекомендации для разработчиков. Дополнительная информация опубликована на соответствующей странице нашего сайта, посвящённой безопасности продуктов. Защита данных наших заказчиков и обеспечение безопасности наших продуктов является для Intel одним из ключевых приоритетов».

Исследователи из группы безопасности систем и сетей в Амстердамском свободном университете заявили, что обнаружили ещё одну критическую уязвимость в процессорах Intel. В отличие от Spectre и Meltdown, она не использует особенности реализации спекулятивного исполнения команд, но задействует технологию Hyper-Threading.

Новая атака по сторонним каналам для многопоточных процессоров была названа TLBleed, так как использует буфер ассоциативной трансляции (TLB) процессора — тип кеша, в котором хранится таблица соответствий для ускорения трансляции адреса виртуальной памяти в адрес физической памяти.

Уязвимость TLBleed работает через Intel Hyper-Threading. Когда эта технология активна, каждое ядро может выполнять несколько потоков — как правило, два одновременно. Эти потоки совместно используют ресурсы внутри ядра, включая кеши памяти и буфер TLB. Когда две программы работают на одном ядре, один из потоков может следить за другим, изучая, как он обращается к различным ресурсам CPU. Из этих наблюдений зловред может определить содержимое закрытых для него разделов памяти, содержащих секретную информацию.

Исследователи говорят, что им удалось использовать TLBleed для извлечения ключей шифрования из другой запущенной программы в 99,8 % тестов на процессоре Intel Skylake Core i7-6700K. Тесты с использованием других типов процессоров Intel тоже имели высокие показатели результативности атак.

Для работы TLBleed нужно вначале установить вредоносное ПО на систему — иначе задействовать уязвимость нельзя. «Без паники: хотя речь идёт о крутой атаке, TLBleed — это всё же не новая Spectre», — сказал исследователь Бен Грас (Ben Gras).

Это не означает, что TLBleed не следует воспринимать всерьёз. На прошлой неделе разработчики операционной системы с открытым исходным кодом OpenBSD отключили функцию многопоточности на процессорах Intel для защиты от этой уязвимости. Руководитель проекта Тео де Раадт (Theo de Raadt) намерен представить исследовательскую работу на конференции Black Hat в августе этого года, в которой покажет, почему они пошли на столь радикальный шаг.

Однако Intel, похоже, не обеспокоена потенциальными угрозами, создаваемыми уязвимостью TLBleed. Компания не запрашивает номер CVE для этой дыры в безопасности и даже отказалась заплатить исследователям награду за выявленную ими ошибку. Intel отметила, что ПО и программные библиотеки вроде Intel Integrated Performance Primitives Cryptography U3.1, написанные с прицелом на постоянное время выполнения и независимые данные кеша, должны быть невосприимчивы к TLBleed. Господин Грас полагает, что процессоры AMD тоже могут быть подвержены подобной уязвимости, потому что поддерживают исполнение нескольких потоков одновременно.

Apple исправила малоизвестную уязвимость App Store, которая позволяла разработчикам собирать данные о контактах пользователей iOS. Недавно компания анонсировала новые правила, которые распространяются на собственную информацию пользователей, но не на информацию их контактов.

Как объяснил Bloomberg, разработчики приложений для iOS могли запрашивать доступ к адресным книгам и контактам пользователей. Так они получали возможность собирать различные данные о друзьях, родственниках и коллегах «жертв» — имена, телефонные номера, электронные адреса, фотографии, даты рождения, домашние и рабочие адреса, а также информацию о том, как давно тот или иной контакт был создан. Разработчик мог передать эти данные кому угодно, и Apple об этом даже не узнала бы.

Суть уязвимости заключалась в том, что человек из списка контактов, о котором хотели собрать информацию, не мог ни отказаться от сбора своих данных, ни изъять их. Разработчики могли продавать эти данные и использовать их в рекламных целях — например, чтобы показывать пользователям продукты, которые просматривали их друзья и близкие.

Теперь Apple запретила собирать данные контактов, «за исключением явной инициативы пользователя на индивидуальной основе». Также разработчики больше не могут создавать, делиться и продавать базы данных контактов, а также использовать эту информацию в нераскрытых целях.

Исследователь безопасности Том Корт (Tom Court) из компании Context рассказал о том, как он помог Valve устранить уязвимость в Steam. По словам эксперта, эта брешь существовала около 10 лет и позволяла злоумышленникам получить полный контроль над компьютерами жертв.

Платформа цифровой дистрибуции Steam работает с 2003 года, и хотя её постоянно модифицируют, многие элементы кода являются устаревшими. Приблизительно год назад Valve встроила в Steam современные механизмы защиты от эксплоитов, которые частично исправили уязвимость, существовавшую до этого около 10 лет. В результате действий Valve стало невозможно с помощью бреши напрямую захватить компьютер жертвы, лишь вызвать сбой клиента. При этом уязвимость могла использоваться при осуществлении более сложных атак.

Сотрудник Context сообщил администрации Steam об уязвимости 20 февраля этого года. «Valve узнала о бреши из электронного письма, отправленного команде безопасности платформы... Спустя 8 часов исправление появилось в бета-ветке клиента Steam», — отметил Корт. Он подчеркнул, что это одна из самых быстрых реакций, которые можно было ждать от крупной компании. В основной клиент Steam исправление попало 21 марта, в описании обновления упоминается имя исследователя.

«Существование такой простой ошибки с такими серьёзными последствиями на настолько популярной программной платформе в 2018 году удивляет и должно подтолкнуть исследователей безопасности искать уязвимости и сообщать о них!», — написал Корт.

Компания Solar Security, о приобретении которой недавно объявил телекоммуникационный оператор «Ростелеком», представила результаты первого в России исследования безопасности мобильных приложений для каршеринга.

Напомним, что сервисы каршеринга — краткосрочной аренды автомобилей — сейчас активно развиваются в нашей стране, прежде всего в Москве и Санкт-Петербурге. Для бронирования машин в рамках таких платформ служит приложение для смартфона.

Для подписчиков служб каршеринга основные риски связаны с возможным похищением аккаунта. В этом случае злоумышленник сможет свободно распоряжаться автомобилем, который в этот момент якобы использует другой человек. Кражу аккаунта теоретически можно осуществить через уязвимости и скрытые возможности мобильных приложений.

Эксперты Solar Security проанализировали клиентские программы таких сервисов, как «Делимобиль», «Карусель», «Яндекс.Драйв», Anytime, BelkaCar, CAR4YOU, CAR5, Carenda, Carlion, Colesa.com, EasyRide, Lifcar, MatreshCar, Rent-a-Ride, RENTMEE и TimCar. Все приложения рассматривались в вариантах для операционных систем Android и iOS.

Выяснилось, что среди Android-приложений наилучшую защиту демонстрируют «Яндекс.Драйв»,  Anytime, Lifcar и «Карусель». Хуже всего защищены приложения Rent-a-Ride, BelkaCar и CAR5. Более половины каршеринг-приложений под Android уязвимы к атакам типа DoS и DNS spoofing. Примерно в трети случаев наблюдается небезопасное хранение конфиденциальных данных, в том числе паролей.

Что касается iOS-версий приложений, то они в целом защищены хуже, чем их аналоги под Android. Самыми безопасными признаны Carenda, CAR4YOU, EasyRide, «Карусель» и Lifcar, а в конце списка оказались RENTMEE и Anytime. Для iOS-версий приложений характерны такие уязвимости, как слабый алгоритм шифрования, использование буфера обмена, небезопасная аутентификация и небезопасное хранение конфиденциальных данных. 

Недавно специалисты по безопасности из Microsoft и Google сообщили об очередной выявленной ещё в ноябре 2017 года аппаратной уязвимости современных процессоров, использующих блоки спекулятивных вычислений. Какова же реакция Intel, AMD и ARM на неутешительную новость об обнаружении Spectre-подобной уязвимости CVE-2018-3639 (вариант 4)?

«Вариант 4 использует принципы спекулятивного исполнения команд, общий для большинства современных процессорных архитектур и позволяет получать доступ к определённым видам данных через сторонние каналы», — отметила исполнительный вице-президент Intel по безопасности продуктов Лесли Калбертсон (Leslie Culbertson).

«В данном случае исследователи продемонстрировали Вариант 4 в среде исполнения кода на определённом языке. Хотя мы не знаем об успешном использовании браузеров, наиболее распространённый пример такого рода — это исполнение кода JavaScript в веб-обозревателях. Начиная с января большинство ведущих браузеров уже получили заплатки для Варианта 1 в их средах исполнения — обновления существенно увеличивают сложность использования атак по сторонним каналам в веб-браузере. Они также применимы к Варианту 4 и уже доступны для потребителей сегодня», — добавила она.

По словам госпожи Калбертсон, Intel и другие компании будут выпускать новые версии микрокода и программные заплатки для более эффективного противодействия зловредам, использующим четвёртый вариант атаки. Эти заплатки сейчас тестируются производителями компьютеров и устройств. Интересно, что они будут отключены по умолчанию при распространении среди потребителей — по-видимому, потому что риск успешной атаки крайне низок и защита против неё не стоит падения производительности. Это очень сложная уязвимость, которую можно закрыть, но при этом крайне тяжело использовать. Ещё одна причина отключения заплаток по умолчанию может скрываться в потенциальных проблемах со стабильностью систем с ранними версиями обновлений против Spectre.

Лесли Калбертсон добавила: «Мы уже передали OEM-производителям и поставщикам системного ПО предварительное тестовое обновление микрокода против Версии 4 — в ближайшие недели будут выпущены финальные варианты заплатки, которые начнут развёртываться в новых версиях BIOS и обновлениях ОС. Эта заплатка будет отключена по умолчанию, предоставляя клиентам возможность включить её. Мы ожидаем, что большинство отраслевых партнёров по программному обеспечению тоже будут отключать исправление по умолчанию. В этой конфигурации мы не заметили влияния на производительность. Если же заплатка активирована, мы наблюдали снижение производительности на 2–8 процентов на основе средних оценок в тестах вроде SYSmark 2014 SE и SPEC, для клиентских и серверных систем».

Пресс-секретарь ARM тоже прокомментировал ситуацию: «Этот последний вариант Spectre затрагивает небольшое количество ядер ARM семейства Cortex-A и исправляется с помощью встроенного обновления прошивки, которое можно найти на нашем веб-сайте. Как и в предыдущих опубликованных вариантах Spectre, последний может быть задействован только в том случае, если особый тип вредоносного ПО исполняется непосредственно на клиентском устройстве. ARM настоятельно рекомендует, чтобы пользователи соблюдали общие правила безопасности против вредоносного ПО и старались вовремя обновлять своё программное обеспечение».

ARM также сообщила, что к июлю этого года выпустит обновлённые схемы однокристальных систем на базе ядер Cortex-A72, Cortex-A73 и Cortex-A75, которые будут аппаратно устойчивы ко второму варианту Spectre, а Cortex-A75 также получит обновление против Meltdown (вариант 3).

Представитель AMD рассказал об исправлениях на уровне ОС: по сути, некоторые ключевые регистры нуждаются в настройке, чтобы противостоять атакам по Варианту 4: «AMD рекомендует установить заплатки против SSB [the speculative store bypass] через обновления операционной системы для процессоров семейства 15 (продукты с архитектурой Bulldozer). Для получения подробной информации ознакомьтесь с технической документацией AMD. Microsoft завершает окончательное тестирование и проверку специфических для AMD обновлений для клиентских и серверных операционных систем Windows, которые, как ожидается, будут развёрнуты через стандартный процесс обновления. Аналогичным образом, дистрибуторы Linux разрабатывают обновления операционной системы против SSB. AMD рекомендует следовать указаниям от конкретных поставщиков ОС. Исходя из сложности использования уязвимости, AMD и наши партнёры по экосистеме в настоящее время рекомендуют использовать настройку по умолчанию».

Red Hat опубликовала важное руководство по четвёртому варианту, рассказав о его воздействии и принципах работы. VMware также предлагает комментарии и обновления, как и Xen Project.

Стоит отметить, что до сих пор не было обнаружено вредоносных программ, производящих успешные атаки с помощью дыр Spectre и Meltdown, не говоря уже о последнем четвёртом варианте. То же касается и различных Spectre-подобных методов, которые были выявлены с января (BranchScope, SgxSpectre, MeltdownPrime и SpectrePrime). Это обусловлено либо тем, что заплатки уже достаточно широко установлены, что делает атаки в значительной степени бесплодными; либо же такие сложные атаки просто не стоят затрачиваемых усилий, поскольку существует множество более простых ошибок, позволяющих повысить привилегии зловреда и использовать их для доступа к ядру и другим приложениям. Для повышения эффективности борьбы с Meltdown и Spectre Intel предложила использовать мощности графических ускорителей для сканирования физической памяти во время простоя и выявления программных уловок.

В целом же все выявленные аппаратные ошибки безопасности, связанные с принципом спекулятивных вычислений, дают представление о том, что годами полупроводниковая индустрия концентрировала усилия на повышении производительности, уделяя куда меньше внимания механизмам защиты памяти.

Исследователи из Microsoft и Google обнаружили четвёртый вариант уязвимости современных процессоров класса Meltdown-Spectre, позволяющий несанкционированно получать доступ к данным. Эти ошибки спекулятивного исполнения команд в теории могут быть использованы вредоносным ПО, запущенным на уязвимом устройстве или компьютере, или злоумышленником, зарегистрированным в системе, для постепенного получения секретов (например, паролей) из защищённого ядра или памяти приложения.

Ранее были известны три основных варианта таких атак. Spectre — это название двух уязвимостей: вариант 1 или CVE-2017-5753 (обход проверки границ) и вариант 2 или CVE-2017-5715 (целевое внедрение в ветвь). Вариант 3 назывался Meltdown или CVE-2017-5754 (загрузка в кеш мошеннических данных).

Теперь исследователи рассказали о варианте 4 (CVE-2018-3639). Он затрагивает современные процессорные ядра, поддерживающие исполнение команд с изменением последовательности от Intel, AMD, ARM, а также процессоры IBM Power 8, Power 9 и System z. Следует помнить, что ядра ARM применяются во всём мире в смартфонах, планшетах и встраиваемой электронике.

Четвёртый вариант уязвимостей может быть в теории использован даже скриптами, запущенными внутри программ — например, с помощью кода JavaScript на веб-странице на вкладке браузера — для похищения конфиденциальной информации из других частей приложения (например, личных данных с другой вкладки).

Исправления, уже выпущенные против варианта 1, который является самой трудной для исправления уязвимостью, должны сделать атаки с применением варианта 4 намного сложнее. Другими словами, веб-браузеры и аналогичные программы с исполнением скриптов и другого внешнего кода, защищённые от атак Spectre 1, одновременно должны ослаблять результативность атак по варианту 4. На данный момент о реальном вредоносном ПО, которое бы задействовало вариант 4, ничего не известно.

Специалистами по безопасности, кстати, была также раскрыта ещё одна ошибка CVE-2018-3640: это мошенническое считывание системного реестра, позволяющее обычным программам получать доступ к флагам состояния оборудования — например, к регистрам, которые должны быть в идеальном мире доступны только ядру операционной системы, драйверам и гипервизорам.

Вариант 4 также называется Speculative Store Buffer Bypass и связан со спекулятивным исполнением подходящих по мнению процессорной логики команд в те моменты, когда текущие инструкции занимаются сохранением данных в медленную память. Современные CPU не желают простаивать и используют это время для ускорения работы, что серьёзно отражается на быстродействии.

Этот метод спекулятивных вычислений подразумевает перенос данных в кеш-память первого уровня. Именно на основе анализа этих остаточных данных в кеше вредоносная программа, повторяя процедуру снова и снова, может извлекать критически важную информацию. Название Spectre вполне подходит этому методу, который в чём-то похож на наблюдение за призраком.

Вариант 4 был обнаружен ещё в ноябре 2017 года совместными усилиями Янна Хорна (Jann Horn) из команды Google Project Zero и Кена Джонсона (Ken Johnson) из Microsoft. Поэтому у производителей было достаточно времени, чтобы разработать средства борьбы с уязвимостью. Сообщается, что программные заплатки против этого метода приведут к очередной деградации производительности на значение до 8 % (в перспективе за счёт оптимизаций планируется снизить урон).

Компания ESET сообщает об обнаружении двух ранее неизвестных «дыр» в программных продуктах Adobe и Microsoft: связка этих уязвимостей позволяет выполнять на компьютере жертвы произвольный вредоносный код.

Под ударом злоумышленников оказались Adobe Reader и Windows. Нападение может быть осуществлено через сформированный специальным образом файл в формате PDF. При этом от потенциальной жертвы требуется минимальное участие: киберпреступникам достаточно лишь вынудить пользователя открыть документ.

«В данном случае злоумышленники нашли уязвимости и написали эксплойты как для Adobe Reader, так и для операционной системы — сравнительно редкий случай, иллюстрирующий высокую квалификацию авторов», — отмечает ESET.

Сочетание двух брешей «нулевого дня» представляет весьма высокую опасность. Дело в том, что в случае успешной атаки киберпреступники могут выполнить на компьютере жертвы произвольные действия с максимальными привилегиями.

Специалисты уже обнаружили опытные PDF-файлы, эксплуатирующие данные уязвимости. Правда, эти образцы не содержали вредоносной нагрузки — очевидно, злоумышленники пока тестируют новую схему атаки.

Компании Adobe и Microsoft уже поставлены в известность о существовании проблем.