Не откажем же себе в удовольствии пришить друг к другу белыми нитками два произошедших на прошлой неделе события. Во-первых, в самых современных телефонах Samsung Galaxy обнаружились неполадки с отправкой сообщений. Во-вторых, индексация публичных документов с приватной информацией из сервиса Google Documents поисковиком Яндекс обсуждалась далеко за пределами компьютерной тусовки.

У этих происшествий есть кое-что общее: и отсутствие какой-либо новизны для опытного читателя новостей о безопасности, и не очень конкретная реакция разработчиков устройств и сервисов. Но главное — отсутствие четких рекомендаций, как обезопасить свои личные данные, раз уж такое произошло. В общем, есть все поводы снова поговорить об ответственности пользователей и поставщиков услуг, приватности и сложности современных технологий.

В коллекционировании старого околокомпьютерного железа конечно же есть элемент ностальгии. Интересно, что совсем нестарые устройства подчас получается вернуть к жизни только после длительных археологических раскопок цифрового культурного слоя. Но есть еще кое-что. Передо мной сейчас 20-летний ноутбук, и он, в отличие от современных устройств, сервисов и технологий, полностью детерминирован. Ясно, что удобно, а что нет, что в итоге оказалось перспективной технологией, а что пошло под откос. Понятен спектр посильных для древнего процессора задач. В этой определенности есть что-то успокаивающее.

Ладно, на самом деле старые железки интересны, потому что принадлежат эпохе, в которой сами по себе устройства представляли огромный интерес. Кого сейчас удивишь воспроизведением музыки на «компьютере»? В январе этого года я стал владельцем десятка старых ноутбуков, начало этой истории можно прочитать тут. Второй сезон мы решили, в порядке эксперимента, попробовать сделать вместе с «Лабораторией». Начнем с истории про прокачивание 20-летнего лаптопа до максимально возможных характеристик. В отличие от случайной удачи с приобретением десятка вполне рабочих ноутбуков, история апгрейда ноутбука до десктопа — это коллекция фантастических провалов.

Люблю читать научные работы, исследующие компьютерные уязвимости. В них есть то, чего индустрии инфобезопасности часто не хватает, а именно — осторожности при формулировке определенных допущений. Это достоинство, но есть и недостаток: как правило, практическая польза или вред от свежеобнаруженного факта неочевидны, слишком уж фундаментальные феномены подвергаются исследованию. В этом году мы немало узнали о новых аппаратных уязвимостях, начиная со Spectre и Meltdown, и обычно эти новые знания появляются в виде научной работы. Качества этих аппаратных проблем соответствующие: им подвержены целые классы устройств, их трудно (а то и вовсе невозможно) полностью закрыть софтовой заплаткой, потенциальный ущерб тоже непонятен. Да что там говорить, иногда сложно понять, как они вообще работают.

Примерно так выходит с уязвимостями класса Rowhammer. Четыре года назад была обнаружена принципиальная возможность изменить «соседний» бит в модуле оперативной памяти регулярными операциями чтения/записи. С тех пор появились новые исследования, показывающие, как применить эту особенность плотно упакованных чипов памяти для практических атак. На прошлой неделе сборная команда ученых из разных стран показала практическую атаку на Android-смартфоны RAMpage (новость, исследование). Насколько эта атака реально опасна? Попробуем разобраться (спойлер: пока непонятно).

Добрый день, уважаемые читатели.

Реестр — это одна из самых заметных и значительных систем Windows. Вряд ли найдется человек, который не слышал о нем. Занимаясь программированием под Windows уже около 20 лет, я думал, что знаю о нем все. Но время от времени появляется что-то новое, что показывает мне, как я был неправ. Поэтому сегодня я хочу рассказать вам о необычных способах работы с реестром, которые я встречал, исследуя руткиты, и которые удивили меня.

На прошлой неделе компания Juniper Research в исследовании рынка Интернета вещей спрогнозировала двукратный рост количества таких устройств к 2022 году (новость). Если сейчас аналитики оценивают число активных IoT в 21 миллиард, то через четыре года их количество превысит 50 миллиардов.

В том же отчете утверждается, что до настоящего, повсеместного внедрения IoT (в промышленности и бизнесе) мы еще не дожили: сейчас приоритет все же отдается более тупым традиционным решениям. Появления реально больших (сто тысяч и более) инфраструктур IoT придется подождать, но недолго. В отчете не уделяется внимание безопасности, но про нее достаточно актуальных новостей, вторую неделю подряд.

Прошедшая неделя отметилась парой интересных новостей из небезопасного мира интернет-вещей, а главным событием, конечно, стало исследование умного замка Tapplock (новость, оригинальный отчет). Исследователь из Pen Test Partners Эндрю Тирни не просто обошел защиту электронного замка, а скорее обнаружил полное отсутствие какой-либо системы безопасности в «цифровой» части устройства.

Давным-давно, на заре своего рождения Windows использовала файловую систему FAT. Потом ей на смену Microsoft и IBM разработали NTFS. В те давние времена возникло два противоположных подхода к файловой системе. В Linux используется case-sensitive файловая система, а в Microsoft — case-insensitive.

Суть в том, что в case-sensitive файловой системе считается, что имена, написанные в разных регистрах (например, FILE.txt и file.txt) — это разные имена. А для Windows между ними нет разницы.



Несмотря на нечувствительность Windows к регистру букв, разработчики NTFS подошли к делу ответственно, и бережно сохраняют регистр имен каталогов и файлов. Возможно, они не теряли надежды на сближение с противоборствующим лагерем.

Приглашаем вас на очередную встречу C++ User Group, которая пройдет 28 июня в рамках нашей event-платформы CoLaboratory. В прошлый раз мы обсуждали перформанс и Clang Static Analyser. Теперь поговорим о наболевшем: как избавиться от legacy-кода? Как избежать его образования в дальнейшем? Какие сложности возникают при апгрейде протокола взаимодействия, и как с ними справиться?

7 июня компания Adobe закрыла критическую уязвимость в Flash Player (новость, сообщение компании). Уязвимость CVE-2018-5002 обнаружена сразу несколькими исследовательскими командами из Китая — речь идет об удаленном выполнении произвольного кода в результате ошибки переполнения буфера. Это уязвимость нулевого дня: на момент обнаружения она уже использовалась в целевых атаках на Ближнем Востоке. Эта достаточно серьезная проблема воспринимается как рутинная новость просто из-за названия пострадавшего продукта: ну кого уже может удивить RCE во флеше?

Только в нынешнем году это уже вторая критическая уязвимость нулевого дня, первую срочно закрывали в феврале. Adobe Flash вообще стал образцовым примером небезопасного софта, он стабильно находится в топе самых часто атакуемых приложений, причем не покидает этот рейтинг годами. Он по-прежнему распространен у пользователей, несмотря на многолетние попытки заменить его объективно более эффективными технологиями. Независимо от отношения к технологии, Flash стал неотъемлемой частью истории Интернета. При помощи пары ссылок и одного графика попробуем посмотреть на Flash с точки зрения безопасности и не только.

Представьте, что светлое будущее информационных технологий наступило. Разработаны и повсеместно внедрены технологии разработки безопасного кода. Наиболее распространенный софт чрезвычайно сложно взломать, да и нет смысла: самые интересные данные вообще хранятся в отдельном, полностью изолированном программно-аппаратном «сейфе». Взломать чью-нибудь почту, подобрав простой пароль, воспользоваться намертво «зашитым» админским доступом к роутеру уже не получается: практики разработки и качественный аудит сводят вероятность появления таких «простых» уязвимостей почти к нулю.

Положит ли этот (маловероятный) сценарий конец кибератакам? Вряд ли, они просто станут дороже. Нетривиальные методы взлома, которые в настоящее время попросту не нужны (есть способы добыть нужную информацию гораздо проще), станут востребованы. Тот же Spectre — это ведь набор уязвимостей, которые крайне сложно употребить для чего-то реально полезного вредного. Но если выбора нет, подойдут и такие способы. Сегодня — два свежих примера нетривиальных атак: акустический DoS жестких дисков и кража картинок из Фейсбука через CSS.

Представьте себе на минуту идеальный мир, в котором все ваши данные хранятся в облачной системе, в зашифрованном виде, и доступ к этому хранилищу имеете только вы. «Учетная запись» используется для синхронизации данных на домашнем ПК, смартфоне и планшете. Для доступа к файлам, сообщениям мессенджера и почтовой переписке требуется дополнительное согласие владельца. Еще более строго ограничивается доступ к вашим данным со стороны третьих лиц и компаний. Одной большой красной кнопкой можно отключить доступ сразу всем сторонним сервисам. Социальные сети теперь обязаны каждый раз запрашивать ваше разрешение на использование данных для таргетирования рекламных объявлений. Законодательно закреплен и поддержан технологиями режим инкогнито, когда компаниям прямо запрещено отслеживать вашу активность — для любых целей. Стоимость персональных данных растет и становится публичной: желающим свободно делиться своими данными предлагают солидные компенсации. За персональное хранилище данных тоже приходится платить, но гораздо меньше.

Ничего из вышеперечисленного НЕ произошло 25 мая, когда официально вступили в силу нормы европейского регламента о защите данных (General Data Protection Regulation). «День GDPR» по идее должен был пройти незаметно для большинства: это же законодательство, юридические тонкости и прочее. Но сказалась как сложность новых принципов защиты персональных данных, так и традиционное человеческое раздолбайство. Результат могли наблюдать все пользователи Интернета в своих почтовых ящиках. Обычно происходило это с комментарием: «Никогда бы не подумал, сколько компаний владеют информацией обо мне». Массово рассылая обереги от гнева европейских бюрократов, становятся ли компании ответственнее при обработке персональных данных? Пока скорее нет, чем да, но есть и позитивные примеры.

28 мая в 19:00 в нашем московском офисе пройдет четвертая встреча специалистов по кибербезопасности АСУ ТП.

Нелегкая выдалась неделя для средств обмена зашифрованными сообщениями. Средства как бы работали, но то в одном найдут дыру, то в другом еще какую проблему. Все началось в понедельник, когда группа европейских исследователей анонсировала серьезные уязвимости в ряде почтовых клиентов, поддерживающих шифрование по стандартам OpenPGP или S/MIME (новость). Анонсировала, поделилась информацией с особо важными людьми «под эмбарго»: в мире уязвимостей так делают, чтобы попавшие под раздачу вендоры смогли, например, выпустить патч. А еще — чтобы «особо важные люди» высказались в пользу важности и нужности исследования в публичном порядке.

Но что-то пошло не так, и вместо вторника пришлось обнародовать информацию в тот же понедельник (судя по всему, в Твиттере пошло обсуждение и начали раскрываться детали). Для двух опубликованных сценариев атаки наличие своего бренда (Efail), логотипа и веб-странички выглядит странно, но, впрочем, ладно. Оба метода атаки эксплуатируют встроенный в почтовые клиенты просмотрщик сообщений в виде веб-страниц. В сообщение перед зашифрованными текстом вставляется битый тег img — так, чтобы на сервер атакующего отправился не только запрос на загрузку картинки, но чтобы к нему еще было прицеплено расшифрованное сообщение.

Прошлая неделя была богата новостями на тему искусственного интеллекта. Начнем с сообщения издания The Information о прогрессе в расследовании смертельного ДТП с автономно управляемым автомобилем Uber. ДТП произошло в марте в Аризоне: погибшая в аварии переходила дорогу в неположенном месте, и даже если бы назначенный следить за роботами водитель-наблюдатель не клевал носом, вовремя отреагировать он не успел бы. Но ведь на то и нужны всякие сенсоры: они по идее и в темноте лучше видят, и реагируют быстрее. По данным The Information, датчики действительно обнаружили женщину относительно вовремя, но софтом было принято решение какое-то время не реагировать на объект — с целью борьбы с ложными срабатываниями.

Заметку The Information стоит делить на десять: пока официально в Uber не стали ничего подтверждать или опровергать, информация поступила из анонимных источников. Да и слишком просто это звучит: «ложные срабатывания». Вроде бы автопилот настраивается так, чтобы игнорировать предметы типа летающих пакетов и бордюрных столбиков, иначе получится не автономная езда, а сплошное мучение с постоянными попытками объезда несуществующих препятствий и резкими торможениями. Может ли оптимизация кода приводить к человеческим жертвам? В этом случае непонятно, но вообще, наверное, да. Почему нет-то?

3 мая Twitter попросил всех своих пользователей сменить пароль (новость). Причиной тому была не хакерская атака, как это обычно бывает, а некий глюк в системе регистрации событий. Снаружи пароли были не видны, но из-за неправильной настройки в лог они записывались в открытом виде.

Проведенное компанией внутреннее расследование исключило возможность неправомерного использования открыто хранящихся паролей кем-либо — неважно, сотрудником компании или третьим лицом. По данным Reuters, во внутренние логи в течение нескольких месяцев успели записать пароли более чем 330 миллионов пользователей.

Окей, Гугл, раз-раз, как меня слышно, прием? 12 апреля видеоблоггер Mitchollow устраивает в прямом эфире Ютьюба эксперимент, чтобы ответить на простой вопрос: если у вас на компьютере установлено какое-то ПО от Google (например, браузер Chrome), означает ли это, что Гугл, как родина, всегда слушает вас через микрофон? Автор видео сначала показывает табличку с названием товара (игрушки для собак), о котором позже он говорит вслух в течение пары минут. После этого, открыв пару популярных сайтов, моментально натыкается на рекламу зоомагазинов в больших количествах.

Из этого прекрасного эксперимента можно сделать массу далеко идущих выводов. Например, что мы сейчас, с точки зрения разнузданности слежки за пользователями в сети, живем в некотором мире дикого Запада, где нас профилируют по всем параметрам — от высказываний до селфи и паттернов встроенного в телефон датчика ускорения. Возможно, так и есть, но 24 апреля тот же видеоблоггер выкладывает не то чтобы опровержение, а скорее попытку показать, что не все так однозначно. Как обычно бывает в интернетах, первое видео с набросом на вентилятор смотрят больше двух миллионов раз, второе видео набирает всего 160 тысяч просмотров.

На прошлой неделе в Сан-Франциско прошла очередная, двадцать седьмая по счету бизнес-конференция RSA Conference. До начала 2000-х данное мероприятие можно было охарактеризовать как узкоспециализированную вечеринку криптографов, но постепенно деловой контент почти полностью вытеснил технический. Не всем такой формат мероприятия по информационной безопасности пришелся по душе. Всю неделю в твиттере то и дело проскакивали едкие комментарии технических экспертов, типа «RSA проходит максимально продуктивно, если запереться в гостиничном номере и поработать».

RSA — это и правда тусовка менеджеров, и не важно с чьей стороны — поставщика решений по безопасности или же компании-клиента. О киберзащите там говорят «на высоком уровне», общими словами, подчас туманно и расплывчато. В целом можно понять, почему технарей от формулировок типа «инклюзивность диверсификации при построении новой парадигмы инфобезопасности» так бомбит. Но в попытках поделить около-ИБ-сообщество на «наших» и «ваших» ничего хорошего нет. Во-первых, делителей и так в нашей жизни слишком много. Во-вторых, индустрия информационных технологий (если вспомнить тот же скандал вокруг Фейсбука) столкнулась с проблемами, которые технического решения, к сожалению, не имеют. Попробуем показать на примерах.

Широкое обсуждение вопросов приватности данных пользователей в Facebook — тема больше общественная, и если пытаться найти в ней какие-то технические особенности, то выходит, что с фейсбуком за последний месяц и вовсе ничего не произошло. Разве что разработчики браузера Firefox в конце марта выпустили решение, позволяющее изолировать учетную запись пользователя Facebook от прочей активности в вебе. А в остальном как обычно: то журналисты накопают еще больше шокирующих деталей об утечке данных, то Тим Кук из Apple выскажется на тему «мы продаем продукты пользователям, а не пользователей рекламодателям», то Марк Цукерберг отреагирует, что «все не так однозначно». В техническом сообществе в основном удивляются: а что тут нового? Уже давно понятно, что любая публичная активность в Интернете будет кем-то анализироваться и, возможно, как-то использоваться — во благо пользователям или как получится. Далеко не всегда обработка больших данных — обязательное зло. Вопрос в том, как сделать этот процесс прозрачнее.

Новость
Банкам и правоохранительным органам придется поднапрячься: известные торговцы крадеными данными кредиток JokerStash выставили на продажу реквизиты богатеньких клиентов элитных магазинов Saks Fifth Avenue и Lord & Taylor Stores — то есть американцев и гостей Штатов, для которых норма тратиться по-крупному. И снимать деньги за рубежом, конечно. Не так-то просто вычленить среди всех этих операций темные делишки мошенников.

К тому же дельцы из JokerStash, как это у них заведено, выкладывают товар небольшими порциями, чтобы не заблочили все разом. А значит, хайп по утечке утихнет, а они еще и половины не продадут. Для сравнения: в декабре они увели данные 7 млн карт, и до сих пор выложили только четверть. Из новой партии пока продается 125 тыс. кредиток, а всего украли 5 млн.

Новость
А вот любопытная свеженькая находка наших коллег. Некие предприимчивые товарищи решили снабдить публику необычными новостями. Впрочем, новости были так себе: не очень свежий эксплойт IE да троян Buhtrap, известный с 2014 года. И все это добро вывесили на ряд российских новостных сайтов, откуда и раздавали читателям. Незаметно, разумеется.

Эксплойт для Internet Explorer (CVE-2016-0189), также известный как VBScript Godmode, злоумышленники писали не сами — попятили из открытого источника. Троян, по сути, тоже лишь слегка модифицировали. Он, кстати, всегда использовался для воровства денег со счетов юридических лиц. Так что, по всей видимости, и тут была попытка добраться до компьютеров финансистов.