Стало известно о том, что в процессорах Intel обнаружены две критические уязвимости, эксплуатация которых позволяет перехватить контроль над устройством. Об этом пишут Известия со ссылкой на данные специалистов по информационной безопасности из компании Positive Technologies.

Согласно имеющимся данным, речь идёт о недокументированных производителем возможностях. Доступ к ним открывается в особом режиме, который чаще всего доступен только инженерам Intel, но в определённых сценариях он может быть активирован злоумышленниками. Эти уязвимости преимущественно затрагивают процессоры, которые используются в нетбуках, планшетах и кассовых аппаратах. Однако, специалисты считают, что аналогичные недокументированные возможности могут присутствовать во всех актуальных процессорах Intel, что представляет собой серьёзную потенциальную угрозу.

Две недокументированные инструкции в процессорах Intel, которые могут использоваться для изменения микрокода с целью захвата контроля над процессором и всей системой, выявили сотрудники Positive Technologies Марк Ермолов и Дмитрий Скляров, которые работали вместе с независимым исследователем Максимом Горячим. Эксперты отмечают, что упомянутые инструкции "позволяют обойти все существующие механизмы защиты архитектуры x86 в современных процессорах". Скрытые функции были обнаружены в процессорах Intel семейства Atom, которое обновляется и сейчас. В рамках исследования удалось выявить косвенные признаки, указывающие на то, что обнаруженные инструкции могут поддерживаться всеми современными процессорами Intel.

Выявленные уязвимости потенциально опасны для пользователей устройств на базе процессоров Intel Atom. Речь идёт о чипах с низким энергопотреблением, которые в основном применяются в нетбуках, планшетах, POS-терминалах и кассовых аппаратах.

Не менее 30 тысяч американских компаний были взломаны из-за уязвимости в программном обеспечении Exchange Server компании Microsoft. Об этом в своем блоге написал американский журналист, специалист в области кибербезопасности Брайан Кребс со ссылкой на источники.

По его словам, в последние несколько дней хакеры, связанные с Киев, взломали электронные почты американских небольших компаний, администраций и "сотен тысяч" предприятий по всему миру. Из-за уязвимости в версиях Exchange Server 2013-2019 злоумышленники получают "полный удаленный контроль над затронутыми системами".

По словам эксперта, в настоящий момент группа взломщиков действует не так, как обычно ведут себя другие хакеры, связанные с Китаем - они не выбирают цели для взлома.

Ранее Microsoft обвинила китайских хакеров в атаке на ведомства США.

Российские власти начали проявлять серьезное беспокойство в связи с распространением в Telegram ботов, которые за относительно небольшую плату позволяют получить подробную информацию почти о любом жителе страны. Раньше такие возможности были только у опытных пользователей даркнета или силовиков, а теперь доступны любому зарегистрировавшемуся в мессенджере. Рынок ботов активно растет. По мнению юристов, их деятельность незаконна. Но механизмов противодействия ни у государства, ни у граждан пока нет. На ситуацию может прямо повлиять только сам Telegram, но его основатель Павел Дуров неохотно сотрудничает с властями.

Пробить за 60 секунд

В 2020 году в Telegram активизировалось создание ботов (робот, который может выполнять последовательность действий и имеет встроенный поисковый механизм), позволяющих пользователю мессенджера получить информацию практически о любом человека. Впервые такие сервисы появились еще несколько лет назад, но если раньше их были единицы, то сейчас можно найти уже пару десятков. В числе старейших и самых крупных - "Глаз Бога", "Архангел", Smart_SearchBot и AVinfoBot.

Используя их и элементарную логику можно узнать очень многое об объекте интереса. Если загрузить в бот, например, имя человека, он выдаст подборку из 10-20 номеров телефонов, привязанных к этому имени. По номеру телефона можно получить уже фото владельца, ссылки на его соцсети, выгрузку объявлений из сервиса "Авито", адрес электронной почты и номер автомобиля. По номеру автомобиля можно узнать еще больше: адрес прописки, паспортные данные, информацию о машине и ее фотографии. В некоторых случаях в перечне информации по запросу могут быть пароли от электронной почты и социальных сетей, а иногда даже подробное досье на человека отдельным файлом. Корреспондент "Ъ", например, нашел с помощью одного из ботов свои персональные данные и пароли от e-mail.

Как правило, владельцы таких сервисов скупают или получают бесплатно утекшие базы данных ведомств и компаний, говорит основатель компании "Интернет Розыск" (разрабатывает решения по информационной безопасности) Игорь Бедеров (см. интервью). Все утечки собираются в СУБД (система управления базами данных), поясняет он. Так, благодаря утекшей в 2020 году базе пользователей "ВКонтакте" можно по адресу страницы в соцсети узнать номер телефона, а база ГИБДД поможет выяснить данные об автомобиле и его владельце (см. инфографику).

Также разработчики ботов используют программы для парсинга - сбора данных из открытых источников. Парсинг сервисов бесплатных объявлений, например "Авито", позволяет объединить имя объекта поиска, его почту и номер телефона. Боты также могут собирать данные юридических лиц, подключившись к легальным информационно-аналитическим системам, например "СПАРК-Интерфакс" или Kartoteka.ru.

Задействованы и возможности самого Telegram. Осенью 2020 года в мессенджере появилась новая функция: можно отправить боту геоточку, и он в радиусе 100 м от нее покажет аккаунты всех пользователей, которые находятся там в данный момент или были какое-то время назад.

Мы пробиваем, нас пробивают

Боты для поиска информации о людях в основном работают по трем бизнес-моделям. Это может быть подписка на определенный период (день, месяц или год), в рамках которого число запросов неограниченно. Стоимость подписок варьируется от 65 руб. до 2,5 тыс. руб. за день. Другой вариант - розничная покупка запросов (например, 1, 100 или 500). Есть и тарифные планы, в которые входят, например, пакет из 500 запросов на месяц и полное досье на человека. Тариф подходит для служб безопасности, юридических компаний, финансовых организаций и людей, "чей образ мышления требует знать больше обычного", следует из его описания.

Опрошенные "Ъ" эксперты сходятся во мнении, что для запуска подобных сервисов не требуется серьезных вложений. В первую очередь нужен виртуальный облачный сервер для хранения баз данных и их обработки, поясняет господин Бедеров. Покупать физические серверы для этого не нужно. В среднем, по оценке эксперта, таким сервисам нужно 200-300 Тбайт пространства для стабильной работы. Объем баз данных "Архангела" составляет сотни терабайтов, анонимно рассказали "Ъ" его администраторы. В числе прочих затрат - покупка утечек баз данных, многие из которых зачастую можно найти и в свободном доступе, разработка программ-парсеров и зарплаты сотрудникам.

По усредненным оценкам экспертов, для старта работы бота достаточно 1 млн руб. Эти средства пойдут на привлечение команды из десяти человек, покупку баз данных и аренду облачных хранилищ. По словам представителя Smart_SearchBot, в первый год работы проект потребовал от его создателей не более $10 тыс. (примерно 730 тыс. руб. по курсу ЦБ на 18 февраля).

Потенциальная годовая маржа подобных ботов может оцениваться в 200 млн руб. в год, полагает господин Бедеров. Эту оценку подтверждает собеседник "Ъ" на рынке.

Инвестиции в запуск "Архангела" окупились в первый же месяц, говорят его администраторы. По их словам, первые полгода проект работал в закрытом режиме, был доступен только определенным клиентам и в публичное поле вышел только в середине 2020 года. Зато теперь месячные обороты "Архангела", по словам его представителя, исчисляются "далеко не несколькими миллионами рублей".

Стратегия продвижения таких площадок не отличается от таковой у обычных Telegram-каналов. Это могут быть покупка постов, перекрестных ссылок и другое сотрудничество. По словам расследователя "Роскомсвободы" Андрея Каганских, в конце 2020 года "Глаз Бога" закупал рекламу в Telegram-канале "Двач" (542 тыс. подписчиков), пытаясь расширить аудиторию.

Основными пользователями ботов для пробива людей один из участников рынка называет ревнивых супругов и автолюбителей, которые хотят, например, найти владельца подрезавшей их на дороге машины. Также, добавляет он, сервис может представлять интерес, например, для владельцев недвижимости, которые хотят узнать больше о потенциальном арендаторе. Чаще всего люди пытаются выяснить через бот номера телефонов, электронную почту или найти аккаунты человека в социальных сетях, добавляют в Smart_SearchBot.

Рынок таких решений продолжит расти, уверен аналитик центра мониторинга и реагирования на кибератаки Solar JSOC "Ростелекома" Александр Ненахов, поскольку боты "дают простой инструмент поиска широкому кругу лиц: если раньше подобные сервисы приходилось искать в даркнете и это было непросто, то сейчас для этого просто нужен Telegram".

Основное преимущество Telegram как канала для роста нового бизнеса в его анонимности, считает руководитель технологической практики КПМГ в России и СНГ Николай Легкодимов. Другие мессенджеры, по его мнению, не вызывают высокого доверия у пользователей. Сервис WhatsApp, принадлежащий американской соцсети Facebook, в январе, например, обновил пользовательское соглашение, обязав всех пользователей делиться с ней данными. По новому пользовательскому соглашению, Facebook получит сведения о номере телефона, трансакциях и IP-адресах.

Брешь, пробитая в законодательстве

Законность работы ботов и действий их клиентов вызывает очевидные сомнения. Владельцы и пользователи подобных ботов попадают под действие административного кодекса и могут быть оштрафованы за нарушение правил обработки персональных данных на сумму 3 тыс. руб., говорит преподаватель Moscow Digital School Вадим Перевалов.

Теоретически они могут попасть под действие и Уголовного кодекса за нарушение неприкосновенности частной жизни, допускает доцент факультета права ВШЭ Александр Савельев. В таком случае штраф, по его словам, уже составит до 200 тыс. руб., но в отношении злоумышленников может быть принято решение и о лишении свободы до двух лет.

Владельцы таких сервисов фактически перекладывают ответственность с себя на пользователя. "При использовании бота человек подтверждает, что он получил письменное согласие на обработку персональных данных от человека, чьи данные он хочет проверить",- говорят в "Архангеле". Если такого согласия нет, человек нарушил закон, отмечают представители сервиса.

Но на деле наказать человека за использование бота практически невозможно. "Органам сложно выявить факт использования бота конкретным человеком, установить его личность, а потом собрать формальные доказательства нарушения с его стороны, если только речь не идет о проверке уже изъятого мобильного телефона",- говорит господин Перевалов. По его мнению, единственный возможный способ наказывать пользователей таких площадок - выяснять, кто переводил денежные средства на счета владельцев бота. "В таком случае можно было бы выписывать штрафы всем пользователям, которые совершали платежи, но сейчас таких законодательных механизмов просто не существует",- добавляет эксперт.

Власти и госорганы обратили внимание на деятельность ботов в Telegram только в начале 2021 года, когда в одном из каналов появились персональные данные полицейских и росгвардейцев, участвующих в задержаниях на митингах в поддержку Алексея Навального (см. "Ъ" от 30 января). После публикации в "Ъ" Роскомнадзор потребовал от Telegram прекратить распространение персональных данных граждан, поскольку это угрожает их безопасности. 6 февраля основатель Telegram Павел Дуров заявил о блокировке этих каналов.

В Госдуме неохотно признают, что сегодня фактически нет механизмов, чтобы остановить работу подобных площадок. "Пользователи и администраторы ботов, конечно, совершают преступление, если в их работе используются слитые базы данных. Но эта область юридически попадает в серую зону",- говорит депутат фракции "Единой России" Антон Горелкин. Он констатирует, что запрет или регулирование работы таких площадок сегодня зависит исключительно от воли Павла Дурова, который пока неохотно идет на контакт с российскими властями. Сам господин Дуров и официальный представитель Telegram в России обсуждать этот вопрос с "Ъ" не захотели.

Никита Королев

Цена вопроса

Александр Журавлев - о защите своих прав в случае утечки персональных данных

Персональные данные граждан - лакомый товар, и их незаконный оборот с годами только растет. Последствия этого для граждан могут быть разными: от назойливой рекламы и возможности "пробить" человека до мошенничества в банковской и других сферах. Но сейчас российское законодательство не готово адекватно ответить на растущие вызовы.

Владельцы Telegram-ботов, позволяющих за плату получить данные о конкретном человеке, с юридической точки зрения занимаются обработкой персональных данных. Таким образом, и клиенты таких ботов, и их владельцы выступают операторами персональных данных. Но законно обрабатывать их они могут лишь при согласии гражданина, то есть субъекта персональных данных. Получение и распространение информации без его согласия - нарушение закона.

Конечно, российское законодательство формально позволяет пострадавшим защитить себя, если данные распространяются без их ведома: можно взыскать моральный вред или убытки. Но на практике взыскать убытки не удавалось пока никому, поскольку невозможно доказать причинно-следственную связь, которая к этим потерям привела. В случае с анонимными ботами и ответчика-то найти зачастую невозможно.

Пострадавший может обратиться в Роскомнадзор, который вправе начать проверку и, если найдет владельца бота, может оштрафовать его и обратиться в суд. Но штрафы от таких разбирательств идут в бюджет, а не гражданину.

Наконец, остается вариант обратиться в правоохранительные органы. Но уголовных дел, в которых фигурируют Telegram-боты, еще не было. В целом по простым делам с утечками данных виновные, как правило, отделываются незначительным штрафом или условным сроком.

Получается, что у наших граждан фактически нет эффективных инструментов защиты своих прав в случае утечки и распространения персональных данных. А у российских операторов, обрабатывающих такие данные, нет стимула их защищать. Но россияне понимают, что так быть не должно: по данным ВЦИОМа, увеличение штрафов для интернет-площадок за нарушения, допущенные при обработке персональных данных, одобряют 58% опрошенных.

В отличие от России, действующее в Евросоюзе законодательство по защите персональных данных сформировало прозрачный оборот данных граждан на практике и стимулирует операторов данных их защищать. Это стало возможным, поскольку над нарушителями закона фактически висит "дамоклов меч" в виде штрафов до 4% от оборота компании.

Российская система ответственности за такие нарушения, на мой взгляд, нуждается в кардинальных реформах с опорой на европейский опыт. Административным штрафам необходима прогрессивная шкала, а граждане должны иметь право взыскивать фиксированную компенсацию за утечку их данных. Наказание должно учитывать характер нарушения, масштаб оператора данных и принимаемые им меры для их защиты.

Ключевую роль будет играть правоприменение, поэтому для таких дел нужен специальный суд, ведь масштабы незаконной добычи "новой нефти", то есть данных, с годами будут лишь расти. Параллельно следует совершенствовать законодательство о регулировании подобных ботов, которые уже в ближайшее время могут стать главным оружием киберпреступников. Первые шаги для этого должны быть сделаны со стороны государства.

Александр Журавлев, председатель комиссии по правовому обеспечению цифровой экономики московского отделения Ассоциации юристов России.

"Все прошлые утечки покажутся нам ничтожными"

Игорь Бедеров, основатель компании "Интернет Розыск"

О перспективах рынка Telegram-ботов для поиска данных о людях рассказал "Ъ" основатель информационно-аналитической компании по предупреждению и расследованию преступлений "Интернет Розыск" Игорь Бедеров.

- Как появился рынок ботов для "пробива" людей?

- Еще в 1980-е годы в КГБ впервые задумались о сборе данных на советских электронно-вычислительных машинах (ЭВМ). Тогда появились СУБД (системы управления базой данных). Это были базы ГАИ и прототип "Розыск-Магистрали" (государственная база данных, в которой собираются данные о перемещении россиян.- "Ъ"). Уже после развала Союза базы данных стали физически утекать: продавались на дисках всем желающим. Это был первый этап формирования рынка.

Второй начался примерно в 2009 году вместе с развитием скоростного интернета, социальных сетей и государственных открытых информационных систем. На рынке появились сервисы-агрегаторы, которые собирали открытую информацию и сводили ее в один массив, формируя на людей своеобразные досье. Здесь особенно помогали соцсети: раньше пользователи "ВКонтакте", например, часто оставляли открытыми номера телефонов, и подобные программы собирали их. Сейчас 90% сервисов на рынке - агрегаторы данных.

Третий этап начался в 2019 году. К уже имеющимся решениям добавляется глубокий автоматизированный анализ информации на основе искусственного интеллекта (ИИ). Теперь каждый выгруженный элемент данных о человеке подвергается анализу: система, например, находит номер телефона, а затем по цепочке добавляет к нему больше информации. То есть то, что раньше делала группа аналитиков, теперь делает бот, написанный, например, на языке программирования Python.

- Вы используете утекшие базы данных в своей работе?

- Нет, мы работаем строго в рамках законодательства и сотрудничаем с правоохранительными органами.

- Как именно сотрудничаете?

- У нас есть несколько решений, частичный доступ к которым мы открыли всем. Правоохранителям мы открыли доступ полностью. Например, мы запустили сеть Telegram-ботов - деанонимайзеров. Их пользователи дают согласие на передачу своих данных: номера телефона, страницы в соцсети, геолокации, информации о смартфоне и так далее. В обмен они получают доступ к уже сформированной базе людей. Все данные собраны в СУБД, доступ к которой мы бесплатно предоставляем силовым структурам, потому что считаем это правильным.

- То есть вы сделали добровольный троян, только внутри Telegram?

- По сути - да, приманку для злоумышленников.

- Я слышал, что правоохранители используют боты, которые выгружают информацию о членах разных открытых каналов и чатов, а потом ищут корреляцию. Это возможно?

- Такие сервисы действительно есть, силовики пользуются ими. Мне известно о существовании трех ботов, которые постоянно выгружают из разных чатов списки участников, а затем сопоставляют их по интересам. В выгрузку по человеку идет, например, его номер телефона и список каналов и чатов, на которые он подписан.

- Как дальше будет развиваться рынок таких ботов?

- Сервисы будут эволюционировать в сторону аналитики с использованием ИИ. Параллельно будут развиваться технологии идентификации на основе информации, собранной для таргетированной рекламы. Представьте, какие сумасшедшие массивы данных о нас собрали Google или Apple: психологический и виртуальный портрет, запросы, предпочтения, половые, возрастные, социальные характеристики. Осталось разработать сервисы, которые будут сопоставлять эти данные с конкретными людьми. С учетом развития ИИ и технологий больших данных до этого остается сделать маленький шаг. Как только он будет сделан, все прошлые утечки персональных данных покажутся нам ничтожными.

Интервью взял Никита Королев

В сети РЖД обнаружилась гигантская брешь, позволяющая даже обычным пользователям проникать в нее и получать доступ к критически важным системам. Они смогут подключаться к информационным табло на перронах, системам вентиляции и даже к камерам наблюдения, а опытный хакер получит возможность вывести их из строя на несколько дней или недель.

ИТ-сеть "Российских железных дорог" (РЖД) оказалась максимально уязвимой к взлому и проникновению даже пользователями, не имеющими большого опыта в хакерстве. Это доказал пользователь Habr под псевдонимом Mysterious grey-hat hacker Alexey (@LMonoceros) из Новосибирска.

LMonoceros искал в интернете незащищенные прокси, но вместо них нашел открытый доступ значительной части компьютерной сети РЖД - к тысячам камер наблюдения (на путях и в офисах), IP-телефонам и FreePBX- и IPMI-серверам, а также к целому ряду внутренних сервисов и систем компании, например, к системе управления кондиционированием и вентиляцией помещений, доступ к которой извне, в теории, осуществляться не должен. Он смог подключиться даже к системам управления табло на перронах и целому парку различных сетевых устройств.

В их числе были и многочисленные роутеры, часть которых работала на устаревшем ПО и без паролей, что открывает еще больший простор для "творчества".

По мнению LMonoceros, у РЖД не работает система безопасности. Он отметил отсутствие системы обнаружения вторжения, межсетевых экранов, а также политики управления паролями, поскольку множество сетевых устройств работают в сети компании без них.

LMonoceros подсчитал, к чему может привести открытый доступ к сети госкомпании на примере камер наблюдения. По его данным, в сети РЖД около 10 тыс. камер приблизительно от 10 производителей, стоимость случайно выбранной из списка - в пределах 13 тыс. руб. Он рассчитал, что на вывод из строя всех этих камер, с учетом повторяющихся моделей и вендоров, у гипотетического хакера уйдет не больше недели, и в итоге он нанесет ущерб компании как минимум на 130 млн руб.

Оперативно заменить тысячи и тем более десятки тысяч камер РЖД не сможет - часть она возьмет из запасов, но основную массу придется закупать путем объявления торгов. Это означает, то российские ЖД-пути и сопутствующие помещения будут без видеонаблюдения, по подсчетам LMonoceros, не меньше месяца. "А вот это уже опасность террористической угрозы. Чтобы ее хоть как-то снизить потребуется на 10 тыс. объектов существенно усилить охрану. То есть даже на маленькую ЖД-станцию потребуется дополнительно шесть человек охраны. Кажется, счет уже уходит на миллиарды", - добавил он.

Помимо этого, LMonoceros оказался не единственным, обнаружившим гигантскую брешь в сети РЖД. Он выявил определенные доказательства того, что в ней присутствует как минимум один посторонний. "Очень много признаков, что в этой сети кто-то "живет"", - написал он.

Представители РЖД отреагировали на публикацию LMonoceros, сообщив CNews, что утечки персональных данных клиентов компании после "возможного" проникновения в сеть одного ее из подразделений компании не было. "РЖД проводит расследование по публикации в открытом источнике данных, связанных с информационной безопасностью одного из подразделений холдинга. Сообщаем, что утечки персональных данных клиентов холдинга не произошло, угрозы безопасности движения нет", - рассказали CNews в компании.

"РЖД непрерывно совершенствует собственную ИТ-инфраструктуру - одну из самых масштабных в России - тестирует и аудирует новые решения. Компания открыта и приветствует предложения по усовершенствованию собственной ИТ-инфраструктуры, при этом выступает против неправомерного доступа к информационным системам и публикации данных, связанных с информационной безопасностью, в открытых источниках. Напоминаем, что неправомерный доступ к компьютерной информации является уголовным правонарушением", - отметили представители РЖД.

В ноябре 2019 г. РЖД столкнулась с не менее серьезным случаем взлома. Пользователь Habr @keklick1337 из Москвы сумел проникнуть во внутреннюю сеть компании через Wi-Fi поезда "Сапсан", о чем написал 15 ноября 2019 г.

Сделал он это прямо со своего мобильного устройства, находясь в салоне поезда. "Все настроено ужасно, одинаковые пароли везде - признак хорошего админа, и хранение данных в текстовых документах тоже гуд. ... Все, кто подключен к их Wi-Fi подвержены снифу трафика, ибо все идет через их прокси, можно легко собирать HTTP-трафик, но если чуть постараться, то и HTTPS (проверено). К данным пассажиров рейса получить доступ не составляет труда, и занимает это от силы 20 минут", - написал @keklick1337.

Он добавил также, что несколько лет назад уже обращался в РЖД с сообщением об уязвимости в ее сети. "Они побрили меня с выплатой и просто исправили ее, так что отношение у меня к ним не ахти", - подытожил @keklick1337.

В конце ноября 2019 г., по информации РИА "Новости", специалисты РЖД провели проверку сети и не обнаружили в ней уязвимостей, так или иначе влияющих на утечку критических данных. Об этом сообщил лично директор РЖД по информационным технологиям Евгений Чаркин, занявший эту должность в декабре 2015 г.

"Почему удалось взломать? Наверное, потому что злоумышленник. Наверное, из-за "фана". Юный натуралист", - добавил тогда Чаркин. Он сообщил, что после этого случая будет проведена некая дополнительная работа.

На текущий момент оно составляет 70 тысяч и продолжает расти.

Официальная формулировка причины - "аккаунты были вовлечены в публикацию содержимого, ассоциированного с QAnon, и занимались распространением конспирологических теорий".

То есть теперь для уничтожения аккаунта достаточно обвинить в "конспирологической теории", причем даже без указания конкретной теории, чтобы сторонний наблюдатель сам мог оценить адекватность теории (а также ее критиков).

Полный текст релиза (на английском)

В США при поддержке иностранного правительства хакерская группа сумела получить доступ к системе министерства финансов и Национального управления по телекоммуникациям и информации и похитить их данные.

Об этом сообщает со ссылкой на свои источники информационное агентство Reuters.

"Правительство Соединенных Штатов осведомлено об этих сообщениях, и мы предпринимаем все необходимые шаги для выявления и устранения любых возможных проблем, связанных с этой ситуацией", - заявил официальный представитель Совета нацбезопасности Джон Уллит.

В данный момент в разведке США присутствуют опасения, что хакеры, нацелившиеся на министерство финансов и Национальное управление по телекоммуникациям и информации министерства торговли, использовали аналогичный инструмент для проникновения в другие правительственные учреждения.

К тому же в издании рассказали, что взлом настолько серьезен, что привел к заседанию Совета национальной безопасности в Белом доме.

Как выяснилось, из процессоров Intel можно извлечь секретный ключ для дешифровки исправлений микрокодов микропроцессоров, а это - возможность узнать о потенциальных дырах в продуктах компании, о которых она, по понятным причинам, не будет трубить на каждом углу. В результате для хакеров появляется возможность освоить обратную разработку - так называемый реверс-инжиниринг. Изучая расшифрованный патч кода микропроцессора, злоумышленник может восстановить механизм работы уязвимости процессоров, которая была закрыта при помощи этого патча, и о которой Intel могла умолчать.

Возможность извлечения секретного ключа для дешифровки исправлений микрокода процессоров несколько лет назад обнаружили три исследователя Positive Technologies: Максим Горячий, Дмитрий Скляров и Марк Ермолов. Уязвимость SA-00086 была подтверждена для процессоров Intel Celeron, Pentium и Atom на архитектуре Intel Goldmont и позволяла выполнять код по своему выбору внутри подсистемы Intel Management Engine. Вскоре компания Intel выпустила патч, устраняющий уязвимость SA-00086, но кто мешает установить на систему с уязвимым процессором старый микрокод и воспользоваться уязвимостью?

Продолжив исследования, специалисты из Positive Technologies смогли использовать уязвимость для доступа к сервисному режиму процессоров, названному в Intel "Red Unlock". Инженеры компании используют этот режим для отладки микрокода перед публичным выпуском новых процессоров. Недокументированный отладчик Chip Red Pill (привет кинофильму "Матрица") позволяет выполнять на процессоре вещи, которые будут запрещены штатному изделию. Для обмена данными с процессором в этом случае нужен либо специальный адаптер, либо подключение по USB. Тем самым получить доступ можно будет только к локальному ПК, но не удалённо.

Зато локальный доступ к ПК (процессору) позволяет извлечь секретный ключ для дешифровки патчей, "прилетевших" по сети. Не секрет, что микрокод часто исправляется в процессорах, уже покинувших заводы и сборочные цеха, и установленные в работающих системах. Какую уязвимость и какие ошибки устраняет такой патч, зачастую неизвестно, но перехват ключа и анализ расшифрованного кода заплатки может раскрыть на это глаза.

В компании Intel не считают подобное проблемой, поскольку патч SA-00086 давно реализован в микрокоде, и вероятность того, что кто-то станет возиться с заменой прошивок на уязвимые с последующим анализом исправлений, крайне мала. Что же касается возможности загрузить в процессор микрокод хакера, то она сохраняется лишь до перезагрузки системы и не страшна в большинстве сценариев угроз.

В архиве также удалось найти корневые ключи для создания цифровых подписей сертификатов NetMeeting.

Раскрыты сведения о проблемах в организации защиты в сети компании Tesla, позволивших полностью скомпрометировать инфраструктуру, осуществляющую взаимодействие с автомобилями потребителей. В том числе, выявленные проблемы давали возможность получить доступ к серверу, отвечающему за поддержание канала связи с автомобилями и отправку команд, передаваемых через мобильное приложение.

В итоге, атакующий сумел через инфраструктуру Tesla получить root-доступ к информационной системе любого автомобиля или удалённо передать на автомобиль управляющие команды. В том числе была продемонстрирована возможность отправки на автомобиль таких команд, как запуск двигателя и разблокировка дверей. Для получения доступа требовалось лишь знание VIN-номера автомобиля жертвы.

Уязвимость была выявлена в начале 2017 года исследователем безопасности Джейсоном Хьюзом (Jason Hughes), который сразу проинформировал компанию Tesla о проблемах и обнародовал выявленные им сведения только спустя три с половиной года после инцидента. Отмечается, что компания Tesla в 2017 году устранила проблемы в считанные часы после получения уведомления об уязвимости, после чего кардинально усилила защиту своей инфраструктуры. За выявление уязвимости исследователю было выплачено вознаграждение, размером 50 тысяч долларов США.

Разбор проблем с инфраструктурой Tesla начался с декомпиляции инструментария, предлагаемого для загрузки с сайта toolbox.teslamotors.com. Пользователям автомобилей Tesla, имеющим учётную запись на сайте service.teslamotors.com, предоставлялась возможность загрузки всех модулей для разработчиков. Модули были зашифрованы простейшим способом, а ключи шифрования отдавались тем же сервером.

Декомпилировав полученные модули в код на языке Python, исследователь обнаружил, что в коде встречаются вшитые учётные данные для разных сервисов Tesla, находящихся во внутренней сети компании, вход в которую осуществляется через VPN. В том числе в коде удалось найти учётные данные пользователя одного из хостов в поддомене "dev.teslamotors.com", находящегося во внутренней сети.

До 2019 года для подключения автомобилей к сервисам Tesla применялся VPN на базе пакета OpenVPN (впоследствии был заменён на реализацию на основе websocket) с использованием генерируемого для каждого автомобиля ключа. VPN использовался для обеспечения работы мобильного приложения, получения списка станций зарядки аккумуляторов и в других подобных сервисах. Исследователь попытался просканировать сеть, доступную после подключения своего автомобиля по VPN и обнаружил, что доступная клиентам подсеть на должном уровне не изолирована от внутренней сети Tesla. В том числе оказался достижим хост в поддомене dev.teslamotors.com, к которому были найдены учётные данные.

Скомпрометированный сервер оказался узлом для управления кластером и отвечал за доставку приложений на другие серверы. При входе на указанный хост удалось получить часть исходных текстов внутренних сервисов Tesla, включая mothership.vn и firmware.vn, отвечающие за передачу команд на автомобили клиентов и доставку прошивок. На сервере также были найдены пароли и логины для доступа к СУБД PostgreSQL и MySQL. Попутно выяснилось, что доступ к большинству из компонентов можно получить и без найденных в модулях учётных данных, оказалось достаточно отправить HTTP-запрос к Web API из доступной клиентам подсети.

Среди прочего на сервере был найден модуль, внутри которого был файл good.dev-test.carkeys.tar с ключами к VPN, применяемыми в процессе разработки. Указанные ключи оказались рабочими и позволили подключиться к внутреннему VPN компании vpn.dev.teslamotors.com. На сервере также был найден код сервиса mothership, изучение которого позволило определить точки подключения ко многим управляющим сервисам. Было выяснено, что большинство данных управляющих сервисов доступны на любом автомобиле, в случае подключения с использованием найденных VPN-ключей для разработчиков. Через манипуляцию с сервисами удалось извлечь обновляемые ежедневно ключи доступа для любого автомобиля, а также копии учётных данных любого клиента.

Указанные сведения позволяли определить IP-адрес любого автомобиля, с которым установлено соединение через VPN. Так как подсеть vpn.dev.teslamotors.com не была должным образом отделена межсетевым экраном через простые манипуляции с маршрутизацией удалось добраться до IP клиента и подключиться к его автомобилю по SSH с правами root, воспользовавшись полученными ранее учётными данными клиента.

Кроме того, полученные параметры VPN-соединения к внутренней сети позволяли отправлять запросы к любым автомобилям через Web API mothership.vn.teslamotors.com, которые принимались без дополнительной аутентификации. Например, при проведении тестов удалось продемонстрировать определение текущего местоположения автомобиля, разблокировать двери и запустить мотор. В качестве идентификатора для выбора цели атаки используется VIN-номер автомобиля.

Компания Comparitech обнародовала информацию о наличии в Сети незащищенной базы данных с 235 миллионами профилей пользователей Instagram, TikTok и YouTube. Она содержала извлеченные из публичных профилей сведения, включая логины, полные имена пользователей, контактную информацию, изображения, статистику о числе подписчиков, данные о возрасте, гендере и так далее.

Хотя вся информация является публично доступной, правила всех трех сервисов запрещают извлекать данные из профилей, сообщает SecurityLab.

Достоянием общественности стали данные 192 миллионов профилей Instagram, 42 миллионов профилей TikTok и 4 миллионов профилей YouTube.

Дальше события развивались следующим образом: исследователи предположили, что найденная БД собрана ныне несуществующей компанией Deep Social, которая в 2018 году была заблокирована Facebook и Instagram за извлечение данных из профилей пользователей. В ответ представители Deep Social переадресовали их в компанию Social Data, специализирующуюся на продаже информации о популярных блогерах маркетинговым фирмам. Однако в Social Data заявили, что не считают формирование БД противоправным действием.

"Все данные доступны любому человеку с доступом в интернет. Даже без существования базы данных любой точно так же может прибегнуть к фишингу или связаться с любым человеком, который указывает телефон или адрес электронной почты в своем профиле в соцсетях. Пользователи, не желающие предоставлять информацию, закрывают свои аккаунты".
Social Data

Этот инцидент по мнению экспертов является одной из самых масштабных утечек данных на сегодняшний день. Так что проверьте конфиденциальность настроек ваших профилей.

Проблема заключалась в том, что конференция не была защищена паролем, так как слушание было публичным. По какой-то причине в настройках не был отключен звук для посетителей, а также им не запрещалось занимать экран. То есть присоединиться к конференции мог любой желающий, и этим незамедлительно воспользовались тролли.

Многочисленные пранкеры представлялись сотрудниками CNN и BBC, прерывали заседание криками и громкой музыкой, а потом вовсе стали транслировать порно. При этом судья и адвокаты сторон долгое время старались сохранять спокойствие и, как ни в чем не бывало, возобновляли обсуждения после каждой подобной "шутки".

Независимый ИБ-журналист Брайан Кребс пишет у себя в Twitter, что все могло быть и хуже: вместо обычного ролика с PornHub тролли могли бы транслировать в конференцию детское порно, и тогда все, кто записывал происходящее (а таких было немало), моли попасть под юридическое преследование за хранение такого контента.

Кребс отмечает, что судьям, проводящим процессы в онлайне, стоит лучше разбираться в происходящем. Подводя итог, Кребс опубликовал скриншот, запечатлевший лицо прокурора Эндрю Уоррена, который неожиданно обнаружил на экране порноролик. Сам Уоррен пишет, что ему хотелось бы надеяться, что это был первый и последний раз, когда ему пригодилось выражение лица "кто-то только что прервал судебное заседание порнографией".

В итоге судья Кристофер Нэш все же вынес решение, хотя и потратил большую часть времени на очистку конференции от троллей. Залог для Грэма Айвена Кларка был определен в размере 725 000 долларов США, то есть в шесть раз больше, чем тот "заработал" на своей афере с биткоинами (около 120 000 долларов США).

Сообщается, что будущие судебные заседания будут защищены паролями.

По информации издания, с конца июля измененный файл hosts определяется как представляющий угрозу "SettingsModifier: Win32/HostsFileHijack". Если получив такое предупреждение пользователь нажимает "Подробнее", ему не объясняют ничего, лишь сообщают, что файл демонстрирует "потенциально нежелательное поведение".

Если пользователь согласится устранить "угрозу", система очистит файл hosts и вернет его к состоянию по умолчанию. Также есть возможность проигнорировать проблему, но это разрешит любые модификации hosts в будущем, в том числе и вредоносные.

Основатель Bleeping Computer, Лоренс Абрамс, отмечает, что в целом проблема ложноположительных срабатываний на файл hosts не нова, однако в последние недели люди вдруг стали массово жаловаться на подобные предупреждения (1, 2, 3, 4, 5).

Абрамс пишет, что он решил, будто дело опять в ложноположительных срабатываниях, но все же провел несколько тестов. Как оказалось, достаточно заблокировать через файл hosts серверы Microsoft, собирающие телеметрию, и тогда-то начинаются проблемы. В частности, проблемы возникают, если попытаться заблокировать следующие адреса.

Из-за этого специалист пришел к выводу, что Microsoft, по всей видимости, недавно обновила Defender таким образом, чтобы он определял, если серверы компании были добавлены в файл hosts, и пользователь пытается блокировать сбор телеметрии.

В компании Microsoft пока никак не прокомментировали ситуацию.

Напомним, приложение CCleaner представляет собой утилиту, предназначенную для очистки и оптимизации операционной системы путём удаления ненужных файлов, чистки реестра и др. В прошлом разработчики уже говорили о том, что Microsoft не поддерживает программы очистки реестра и не рекомендует их использовать.

"Некоторые софтверные продукты, такие как утилиты очистки реестра, предполагают, что реестр нуждается в регулярном обслуживании или очистке. Однако некорректное изменение реестра с помощью этих утилит может повлечь за собой серьёзные проблемы. Эти проблемы могут потребовать переустановки операционной системы. Microsoft не может гарантировать того, что проблемы, которые потенциально могут быть вызваны подобными утилитами, возможно решить без переустановки системы", - говорилось в сообщении Microsoft, которое было опубликовано в прошлом.

В Microsoft считают, что программное обеспечение не должно вводить пользователей в заблуждение, демонстрируя сообщения с неточной или преувеличенной информацией о состоянии операционной системы, записях реестра и других элементах. В компании пояснили, что на данный момент статус потенциально нежелательного приложения будет присваиваться только бесплатной версии CCleaner, поскольку в ней пользователям предлагается установить дополнительный софт, который не требуется для работы самой утилиты. В первую очередь речь идёт о других продуктах компании Piriform, являющейся разработчиком CCleaner.

Представитель Piriform сообщил о том, что в компании считают добавление утилиты в список потенциально нежелательных "ложным срабатыванием". В настоящее время разработчики CCleaner обсуждают возможные варианты решения данного вопроса с Microsoft и рассчитывают на то, что в ближайшее время ситуация изменится.

7 июля группа экспертов по безопасности Shadow Intelligence в своем твиттере сообщила о появлении в даркнете объявления о продаже доступа к московским камерам наблюдения. Хакер под ником Zpoint готов предоставить доступ к "живому" видео с камер подъездов жилых домов, поликлиник, парков и школ. Некоторыми из камер можно управлять удаленно. Доступ к камерам возможен не только с компьютера, но и с мобильных устройств под управлением Android и iOS. Кроме того, в объявлении говорится и о записях видео за последние пять дней - столько данные хранятся на серверах ДИТ.

#breach - ECCH system - All video cameras in Moscow @moscow - Threat actor Zpoint has put up for sale unauthorized access to the centralized application that controls all the cameras in Moscow City .

Affected Country: RU#leaked #CyberSecurity #infosec pic.twitter.com/b2wv9w8mld

- Shadow Intelligence (@shad0wintel) July 7, 2020

На сайте ДИТ указано, кто имеет доступ к московской системе видеонаблюдения.

В соответствии с постановлением Правительства Москвы от 07.02.2012 № 24-ПП "Об утверждении положения о государственной информационной системе "Единый центр хранения и обработки данных" (далее - ЕЦХД) доступ на постоянной основе в ЕЦХД для получения информации в режиме реального времени предоставляется федеральным органам государственной власти, Мэру Москвы и уполномоченным им должностным лицам, а также органам государственной власти города Москвы в целях осуществления ими своих полномочий согласно компетенции.

После появления сообщения о продаже представитель ДИТ в комментарии РБК заявил, что "предоставление доступа к системе наблюдения посторонним - это противоправное действие".

Эксперт по кибербезопасности из "Лаборатории Касперского" Дмитрий Галов отметил, что на специализированных форумах хакеры действительно время от времени размещают подобные объявления. Причем речь идет не только о камерах Москвы, но и подобных системах по всему миру.

"Злоумышленники активно интересуются подобными системами и пытаются получить доступ как к общественным камерам, так и к домашним. Для этого они могут эксплуатировать уязвимости в оборудовании, получать доступ из-за неправильной конфигурации используемого программного обеспечения или просто подбирать пароли", - пояснил Галов для РБК.

Уже несколько дней Рунет бурлит, мол, мордокнига блокирует или удаляет данное изображение:

Пендосы, суки, фашисты и так дале.

Но, оказывается, такая же хня происходила и с британским флагом Святого Георгия.

\

Даже сообщения были идентичны:

Так что всё это просто совпадение и техническая ошибка.

Facebook извинился за "любое расстройство", сказав: "Наша команда просматривает миллионы страниц, постов и изображений каждую неделю, и мы иногда допускаем ошибку, как это, вероятно, и произошло здесь".

Модераторы:

За фон страницы тоже банят:

Качество и характер потребляемой информации оказывает на нашу жизнь самое непосредственное влияние, хоть многие этого ещё и не понимают. Человечество впервые за всё время своего существования вступило в эпоху информационного изобилия, ещё не осознало этого факта и не выработало правила информационной гигиены. Между тем они очень важны, так как существующая информационная среда носит разрушительный характер по отношению к личности.

Почему инфосреда агрессивна

Так сложилось, что человек активнее реагирует на информацию, возбуждающую его эмоции. Существует множество научных и псевдонаучных классификаций эмоций по силе их воздействия, но всех их объединяет то, что ассортимент доступных человеку положительных эмоций сильно уступает ассортименту отрицательных. По этой прозаичной причине средства массовой информации активнее эксплуатируют именно отрицательные эмоции.

Пример:

Взгляните на повсеместную рекламу партнёрских сетей - там преобладают совершенно бредовые заголовки типа "Алла Пугачёва разбилась в ДТП...", "Россия напала на Литву...", "Сбербанк поднял комиссию в 5 раз..." и т.д. Заголовок, вызывающий мгновенную негативную эмоцию (страх, тревогу), повышает шансы того, что читатель кликнет на новость и посмотрит рекламу.

Можно было бы подумать, что это характерно только для низкосортных кликбейтерских сайтов, но данную практику используют и вполне респектабельные СМИ, хотя и не в таком грубом виде. Заголовки типа "Курс доллара готов преподнести новый сюрприз", "Рубль подошёл к опасной черте" и т.п. широко эксплуатируются и серьёзными изданиями. Всё потому, что они тоже хотят заработать и борются за клики - рынок-то у них с кликбейтерами один, а количество читателей ограничено.

Вывод:

Информация, вызывающая негативные эмоции, преобладает потому, что на ней проще заработать. Это создаёт ситуацию, в которой издания и блогеры ведут непрерывную борьбу за читателя, соревнуясь между собой в том, чтобы надёжнее заманить его в свои сети и монетизировать. В итоге, заголовки становятся всё бредовее и агрессивнее, в инфопространстве преобладает негатив, а само инфопространство зачастую не описывает объективную реальность (ведь никто этого читателю не гарантировал и не обещал, правда?). Рождается информационное надпространство или инфомрак, который крепко держит внимание людей за эмоциональные нити и, к сожалению, влияет на их жизнь, а значит и на саму объективную реальность.

Как информация влияет на жизнь

Если вы питаетесь исключительно просроченными и некачественными продуктами, это испортит ваше здоровье, а значит и жизнь. Точно так дело обстоит и с потреблением информации. Когда изо дня в день вы потребляете негативную информацию, рано или поздно она начинает менять ваше восприятие действительности:

- вы привыкаете видеть и замечать вокруг себя только плохое;

- вы начинаете отрицать положительное, так как подсознательно ищите в положительном подвох/обман;

- вы перестаёте верить в саму возможность положительных перемен и живёте в состоянии постоянного ожидания ещё худших новостей;

- вы становитесь раздражительными;

- вы видите в окружающих людях в первую очередь отрицательные качества и утрачиваете способность доверять людям;

- вы начинаете винить во всех своих неудачах кого угодно, но только не себя самого.

Таким образом происходит полная перепрошивка сознания и смена шаблона восприятия мира. Если говорить философски, то все мы живём в плену каких-либо шаблонов, но конкретно этот портит жизнь по следующим причинам:

- негативное мировосприятие парализует волю к действиям. Человек, убеждённый в том, что всё плохо, а будет ещё хуже, опускает руки и теряет способность к управлению собственной жизнью. Зачем прилагать усилия, когда всё вокруг "тлен и безысходность"?

- человек, не умеющий видеть положительное, не может разглядеть возможности, так как видит в них лишь подвох/обман;

- предвзятое отношение к окружающим приводит к тому, что любой чужой успех воспринимается как успех, достигнутый обманным путём ("наворовал", "папочка пристроил") или в лучшем случае как стечение удачных обстоятельств ("дуракам везёт").

Вывод:

Полученный нами в ходе пребывания в инфомраке шаблон восприятия разрушает нашу личность, делает нас мелочными, безвольными и завистливыми людьми. Но самое страшное то, что, раз попав в его плен, мы не только застреваем в нём надолго (некоторые на всю жизнь), но и пытаемся затянуть в него других людей.

Инфомрак как наркотик

В какой момент происходит окончательный слом мировосприятия и попадание в плен негативизма? Мы полагаем, что в момент, когда человек теряет веру в себя, он надламывается. Внешне это может быть незаметно, и он может продолжать предпринимать попытки улучшить своё положение (найти работу, завести новых друзей и т.д.), но внутренне он уже не ждёт от этих попыток положительного результата и совершает их по инерции, либо из-за того, что это требует социум. Человек сломался и теперь находится в полном подчинении негативного шаблона.

Аналогия:

Когда человек замерзает, он интуитивно пытается больше двигаться, чтобы согреться, ищет спасения. Но в момент, когда силы на исходе, на него накатывает волна ощущений, описываемых как "комфортные". Внезапно становится всё равно и вроде бы даже теплее, хочется лечь и уснуть хотя бы на минуту. Это самый опасный момент, если позволить себе уснуть, то проснуться уже не получится.

Стремительная деградация личности начинается именно после такого слома. Сначала человек принимает порочность и отвратительность мира и неизбежность ухудшения жизни как данность, а чтобы не сойти с ума, у него включается защитная психологическая реакция (не у всех, некоторые не могут пережить этот момент в прямом смысле и уходят из жизни), заставляющая поверить, что так и должно быть, что это естественный ход вещей. Тогда на него накатывает волна ощущений, описываемых как "комфортные". Человек начинает получать удовольствие от смакования плохих новостей, дурных предзнаменований и подтверждений порочности окружающих. Он уже сам выискивает такую информацию и распространяет её. Он меняет свой круг общения, стараясь формировать его из точно таких же сломавшихся людей. Он готов агрессивно отстаивать своё мировосприятие, вступая в постоянные споры и словесные баталии. Всё - ловушка окончательно захлопнулась, и человек попал в порочный круг, из которого вырваться крайне сложно.

Влияние инфомрака на общество и государство

Инфомрак является угрозой национальной безопасности. Точка. И вот почему.

Экономический аспект

Чем больше членов общества находится в рабстве у инфомрака, тем менее эффективно это общество решает стоящие перед ним задачи. Рассмотрим на примере национальной экономики. Может ли жертва инфомрака эффективно трудиться, создавая добавленную стоимость? Нет, так как убеждён, что это не улучшит его положения и не имеет смысла ("зачем трудиться на дядю", "и так сойдёт"). Готов ли такой человек проявлять предпринимательскую инициативу? Нет, так как твёрдо убеждён в том, что и это бесполезно ("бизнес задушат конкуренты, нечего даже начинать").

Получается, что потерявшийся человек трудится "из-под палки" и только в тех объёмах, которые гарантируют его минимальные потребности. Иногда прямо саботирует возложенные на него обязанности, не стремится к саморазвитию и переобучению, предпочитая оставаться в комфортной для него среде и ожидая скорого краха окружающего мира (кто-то верит в скорую революцию, кто-то в мировую войну, кто-то в нашествие инопланетян - всё что угодно, лишь бы обосновать своё пассивное поведение).

Такое поведение, конечно же, сводит вклад потерявшихся людей в национальную экономику к минимуму. Зато они очень любят требовать к себе особого отношения и участвовать в протестной деятельности.

Общественно-политический аспект

Потерявшиеся люди не участвуют в позитивной деятельности - вы не найдёте их в рядах волонтёрских движений, не встретите на городском субботнике. Больше того - они часто и громко порицают такую деятельность и считают её недостойной ("правительство пусть помогает", "я уже налоги заплатил" и т.д.). Зато они частые участники всевозможных протестных движений. Сразу оговоримся, что мы не записываем всех участников протестных движений в жертвы инфомрака, но отмечаем, что именно там потерявшиеся люди часто находят смысл своего существования.

Примечание:

Среди лидеров протеста (любого) вы не встретите жертв инфомрака, даже если такие лидеры апеллируют к нему в своей риторике. Все жертвы находятся в массовке и следуют за лидерами, так как сами не способны ни к каким созидательным действиям, но постоянно нуждаются в подтверждении своей жизненной платформы. Лидеры протеста искусно пользуются этой человеческой слабостью, окружая себя потерявшимися людьми и выдавая их за "настоящее гражданское общество" ("мы здесь власть!"). В этом смысле деятельность некоторых лидеров протеста с натяжкой, но можно назвать общественнополезной, ведь они, имитируя борьбу, наполняют жизнь потерявшихся людей хоть каким-то смыслом и формируют своего рода клубы по интересам, где те получают возможность общаться друг с другом, не покидая зону своего комфортного одичания. Это объясняет поразительную живучесть некоторых протестных лидеров в странах даже с очень суровым политическим режимом.

Военный аспект

Среди потерявшихся людей распространены пораженческие настроения. В разных условиях они камуфлируются различной риторикой - например, заявлениями об аморальности защиты "этого режима" ("уж лучше пусть нами правит враг, он может оказаться справедливее", "пили бы "Баварское"). Иногда жертвы инфомрака даже ожидают военного конфликта, в котором окружающее их общество и государство потерпит унизительное и болезненное поражение - так хоть кто-то ответит за их реальные и мнимые обиды. В любом случае, такие люди битвы не выигрывают. Наоборот, их часто можно встретить в рядах коллаборационистов и предателей.

Вывод:

Высокий удельный вес потерявшихся в инфомраке людей в обществе снижает экономическую эффективность системы, подрывает её политическую устойчивость, способность к сопротивлению в случае военных и иных конфликтов. То есть является прямой угрозой национальной безопасности.

Как с этим бороться

Выделим две фундаментальные причины торжества инфомрака:

- отсутствие должного регулирования информационного пространства;

- преобладание негативных событий в реальной жизни.

Если говорить про Россию, то в информационной сфере до последнего времени царила полная свобода, если не сказать вседозволенность. По этой причине инфомрак стал восприниматься как норма. Только в последние годы государство начало принимать меры по борьбе с ним, принимая законы в том числе о наказании за распространение фейков, ужесточая ответственность СМИ за пропаганду деструктивных идей и т.д. Это говорит о том, что некоторое понимание важности вопроса у власти есть. Однако, на наш взгляд, оно не является полным, как и понимание эффективных инструментов регулирования инфопространства. Мы считаем, что наряду с запретами необходимо использовать инструменты просвещения и воспитания граждан, вести постоянную разъяснительную работу, вводить понятие информационной гигиены на государственном уровне и учить детей со школы тому, как существовать в условиях информационного изобилия.

Если государство оперирует только запретами, не объясняя гражданам суть вещей (хотя бы, как мы в этом тексте), то это вызывает непонимание и ожесточение, а значит и укрепляет торжество инфомрака, который просто слегка меняет свою среду обитания, переходя в неподконтрольные государству области.

При этом как запреты, так и пропаганда бессильны перед инфомраком, если объективная реальность не даёт поводов для оптимизма. Именно реальные положительные события являются первичным средством борьбы с инфомраком. Не будет их, и вся пропаганда потеряет смысл, а запреты станут восприниматься как цензура.

В то же время, если положительные события есть в реальной жизни, но они не транслируются в инфопространство, то их в умах людей как бы и не существует, а мрак продолжает доминировать (характерная картина для современной России). Поэтому для гармоничного развития общества необходимо выполнение двух условий - наличие позитива в реальной жизни и его грамотная трансляция в умы людей. Это и есть лучший рецепт борьбы с инфомраком.

Наша общая задача

В России лишних людей нет, и мы не в той ситуации, чтобы разбрасываться соотечественниками. Поэтому называя людей "потерявшимися", мы предполагаем возможность их возвращения к нормальной общественной жизни и позитивному мировосприятию. Многие из них попали в рабство к инфомраку в силу жизненных обстоятельств (кого из нас не ломала жизнь?) и они сами в глубине души не рады своему положению. Да, и признаем, что инфомрак стал таким могущественным, что попасть под его отравляющее влияние не так уж и сложно даже человеку устойчивому.

Поэтому мы видим три глобальные задачи:

- профилактика инфомрака в своей голове, соблюдения инфогигиены (чтобы обезопасить себя);

- профилактика инфомрака в головах окружающих людей, которые ещё не попали под его влияние (первым делом - детей и молодёжи);

- работа по спасению наших потерявшихся сограждан из лап разрушительного негативизма.

Конечно, мы отдаём себе отчёт в том, что спасти всех невозможно, и определённый процент сограждан не сойдёт с выбранного пути, как бы мы ни старались. Это нормально, и это примета любого общества. Вместе с тем, мы понимаем, что наших усилий недостаточно для того, чтобы решить такую задачу на глобальном уровне (здесь нужны усилия власти, особенно по генерации реальных поводов для оптимизма). Но мы видим свою миссию в том, чтобы вносить свой посильный вклад в борьбу с инфомраком, то есть заниматься просвещением, а значит, как мы доказали выше, и укреплением национальной безопасности нашей страны.

Исследование, которое провели специалисты платформы WhiteSource, показало, что количество найденных уязвимостей в приложениях с открытым исходным кодом увеличилось в прошлом году на 50 %. При этом более 55 % зарегистрированных в 2019 году уязвимостей получили статус "критических" или "высокого уровня опасности".

Что касается количества, то число раскрытых уязвимостей в ПО с открытым исходным кодом в 2019 году превысило 6000. Эти данные были получены при анализе отчётов об уязвимости из базы WhiteSource, Национальной американской базы данных уязвимостей (National Vulnerabilities Database - NVD) и ряда других источников.

Выяснилось, что зачастую перечень ошибок и уязвимостей разрознен, информация о проблемах раскидана на сотнях ресурсов, что сказывается на качестве индексирования и часто затрудняет поиск конкретных данных.

По данным WhiteSource, одним из положительных моментов в отчетности по безопасности является встроенный в GitHub механизм раскрытия данных об уязвимостях. Это позволяет получать более точные данные о проблемах.

Самое интересное, что приложения на языке Си, который чаще всего используется в проектах с открытым исходным кодом, имеет наибольшее количество уязвимостей. Доля "проблемных" проектов на Си выросла с 30 % в 2018 до 47 % в 2019-м. Также выросла доля найденных брешей и в PHP-коде - с 15 % до 23 %. А вот в приложениях на Python уязвимостей мало - на их долю приходится всего 6 %.

Интересная и перспективная процессорная архитектура AMD Zen и её последующие версии заслуженно привлекли к себе внимание и любовь потребителей. Но каждая медаль имеет две стороны. Оборотной стороной растущей популярности процессоров AMD стало растущее же число обнаруженных уязвимостей. Пока Intel была безусловным лидером рынка, "дыры" в процессорах AMD мало кого интересовали. Теперь это в прошлом. Начинаем считать уязвимости в процессорах AMD.

Исследователи из Университета Граца, которые в своё время совместно с исследователями компании Google обнаружили уязвимости Spectre и Meltdown в архитектуре процессоров Intel, сообщили о найденных похожих по реализации уязвимостях в процессорах AMD. Новые виды атак успешно проводятся на процессоры AMD, выпущенные в период с 2011 по 2019 год, а значит, что архитектура Zen тоже им подвержена. А вот в процессорах Intel обнаруженные уязвимости обнаружены не были, да и не могли.

Исследователи провели так называемое "обратное проектирование" (reverse-engineering) процессоров AMD. С учётом полученных данных были представлены методики двух атак на процессоры по сторонним каналам, которые напоминают атаку типа Spectre на архитектуру процессоров Intel. Атаки получили общее названия "Take A Way", а конкретно это Collide + Probe и Load + Reload. Вот ссылка на официальный отчёт.

Атака проводится на механизм предсказания, обслуживающий кеш-память первого уровня (L1). Вся информация по обнаруженным уязвимостям была передана компании AMD ещё 23 августа 2019 года. Исправлений до сих пор не выпущено. Комментариев AMD на момент публикации новости тоже нет.

"С помощью атаки Collide + Probe (сталкивай и зондируй) злоумышленник может отслеживать доступ к памяти жертвы без знания физических адресов или разделяемой памяти, когда логическое ядро работает в режиме разделения времени. Когда используется атака Load+Reload (загрузка и перезагрузка) мы используем механизм предсказания, чтобы получить высокоточный слепок доступа к памяти жертвы на том же самом физическом ядре. И хотя Load+Reload опирается на разделяемую кеш-память, она не воздействует на строку кеша, что позволяет скрытую (не обнаруживаемую) атаку без каких либо операций выгрузки данных из кеш-памяти последнего уровня".

Исследователи использовали обнаруженные уязвимости с помощью JavaScript в браузерах Chrome и Firefox. Атаки показали действенность обнаруженных методов для получения чувствительных для пользователя данных. Для защиты от найденных уязвимостей исследователи предложили ряд комбинированных программно-аппаратных конфигураций, но о влиянии методов защиты на производительность процессоров ничего не говорится. Вероятно, надо дождаться реакции компании AMD.

Интересно отметить, что данное исследование процессоров AMD на уязвимость кроме ряда правительственных и общественных фондов финансировала также компания Intel. Отмечено, что Intel была весьма щедра. В то же время необходимо помнить, что Intel финансирует многие исследования и, например, платит стипендии, поэтому считать её главной виновницей обнаруженных в процессорах AMD "дыр" всё же не стоит. Чем популярнее будут процессоры "красных", тем больше уязвимостей в них найдут и без Intel. В компании AMD работают такие же инженеры, как в Intel. И проблемы с разработками у всех примерно одинаковые.

Ну что же, спустя более чем два года история с постоянно обнаруживающимися уязвимости в процессорах Intel достигла своего апогея. Специалисты российской компании Positive Technologies обнаружили новую уязвимость, которая гораздо опаснее всех предыдущих вместе взятых.

Уязвимость пока не имеет какого-то звучного собственного имени, но имеет код - CVE-2019-0090. Её уникальность в том, что это первая уязвимость, обусловленная ошибкой в неперезаписываемой области памяти (ROM) подсистемы Intel Converged Security and Management Engine (CSME). И её невозможно полностью ликвидировать никакими патчами или прошивками, то есть её нельзя исправить.

Найдена она во всех современных процессорах Intel, вышедших как минимум за последние пять лет, кроме новейших CPU Ice Lake. Судя по всему, будет она и в готовящихся к выходу настольных Comet Lake.

Но опасность уязвимости не только в том, что её невозможно ликвидировать. Основная проблема в том, что именно Intel CSME обеспечивает начальную аутентификацию системы, загружая и проверяя все остальное микропрограммное обеспечение современных платформ. Именно CSME взаимодействует с микрокодом процессора, обеспечивает подлинность UEFI BIOS, верифицирует прошивку контроллера электропитания, отвечает за криптографическую базу технологий защиты DRM, fTPM и Intel Identity Protection. Проще говоря, обнаруженная уязвимость - это та самая ахиллесова пята почти всех актуальных процессоров Intel.

К чему может привести использование уязвимости злоумышленниками? Как утверждают сами специалисты Positive Technologies, как только будет извлечён аппаратный ключ, на котором зашифрован Chipset Key, а это лишь вопрос времени, наступит полный хаос. "Аппаратная идентификация будет подделана, цифровой контент извлечен, зашифрованная информация с постоянных носителей расшифрована".

Занятно то, что, когда специалисты источника сообщили об уязвимости компании Intel, оказалось, процессорный гигант уже о ней знает. Intel рекомендует пользователям устройств, использующих технологии Intel CSME, Intel SPS, Intel TXE, Intel DAL и Intel AMT, обратиться к производителю конкретного устройства или материнской платы, чтобы получить обновление микропрограммы или BIOS для устранения этой уязвимости. Обновленные рекомендации для снижения уровня угроз, связанных с уязвимостью CVE-2019-0090, изложены на сайте Intel.

Специалисты Positive Technologies, в свою очередь, акцентируя внимание на то, что фундаментально решить проблему невозможно, советуют отключить технологию шифрования носителей информации, использующую подсистему Intel CSME, или рассмотреть возможность замены парка компьютеров на ПК с процессорами Intel 10-й серии и выше. Учитывая специфику данной уязвимости, похоже, что процессоры AMD ей не подвержены.

Злоумышленники могут скомпрометировать ключи шифрования компьютера, воспользовавшись уязвимостью CVE-2019-0090. Хакеры имеют возможность извлечь корневой ключ платформы, получить доступ к зашифрованным на устройстве данным и выдать свой ПК за компьютер жертвы. В этом случае злоумышленники компрометируют алгоритм Enhanced Privacy ID, который используется, в частности, для обеспечения безопасности банковских транзакций.

Также неустранимая уязвимость может быть использована для обхода распространенных технологий защиты информации, например, нелегального копирования контента. Эксперт Positive Technologies Марк Ермолов заявил, что существует достаточно много сценариев извлечения ключа. "Перехватить ключ могут недобросовестный поставщик, специалист обслуживающей организации или сотрудник вашей компании - если они получили физический доступ к ПК", - заметил Ермолов.

Эксперты отметили, что данная ошибка присутствует в большинстве чипсетов Intel, выпущенных за последние пять лет. Так как она позволяет организовать выполнение кода на нулевом уровне привилегий Intel CSME, то устранить эту ошибку с помощью обновления прошивки невозможно.

В Intel отреагировали на проблему и рекомендовали пользователям своевременно обновлять ПО. Инженеры посоветовали владельцам устройств, основанных на технологиях Intel, обратиться к производителю оборудования для получения рекомендаций и обновлений. Эксперты Positive Technologies также предложили отключить технологию шифрования носителей информации, использующую подсистему Intel CSME, или заменить процессор на чипсет Intel десятой серии или выше.

Российская компания сравнила данную уязвимость с ошибкой Bootrom, найденной осенью 2019 года. Инструмент Checkm8 позволяет получить доступ к iPhone на уровне системы, процесс взлома происходит во время загрузки аппарата. Уязвимость является неустранимой и затрагивает все выпущенные с 2011 по 2017 годы iPhone. Однако для использования уязвимости злоумышленнику нужен физический доступ к девайсу.

МОСКВА, 18 февраля. /ТАСС/. Проникнуть во внутреннюю сеть российских банков можно в среднем за пять дней. К такому выводу пришли эксперты Positive Technologies, проанализировавших защищенность инфраструктуры финансовых организаций от кибератак. Из восьми протестированных на внешние атаки финансовых организаций, в сеть семи удалось проникнуть из интернета.

Для формирования публичного отчета экспертами Positive Technologies были проведены внутренние тестирования 10 компаний кредитно-финансового сектора и внешние - для восьми. Отмечается, что тестирование выполнялось для организаций, в которых заказчики работ не вводили существенных ограничений на перечень тестируемых сетей и систем. По результатам эксперты выявили, что внешний злоумышленник может проникнуть из интернета в локальную сеть семи из восьми протестированных компаний. Общий уровень защищенности сетевого периметра шести финансовых организаций был оценен как крайне низкий. В среднем, для проникновения во внутреннюю сеть банка злоумышленникам требуется пять дней, также пояснили в Positive Technologies.

Во всех 10 организациях, где проводился внутренний пентест (тестирование на проникновение - прим. ТАСС), удалось получить максимальные привилегии в корпоративной инфраструктуре. Причем в семи проектах полный контроль был получен в результате продолжения успешной внешней атаки из интернета. В трех проектах стояла дополнительная цель - продемонстрировать возможность хищения денежных средств банка потенциальным злоумышленником, и во всех трех проектах удалось продемонстрировать такую возможность.

Уязвимость систем

"Использование на сетевом периметре устаревших версий ПО [программного обеспечения] остается серьезной проблемой: хотя бы одна атака, выполнявшаяся в рамках пентеста, с использованием известного общедоступного эксплойта (программа, применяемая для проведения атаки на ПО - прим. ТАСС) оказывалась успешной в каждом втором банке", - отмечается в исследовании.

После того, как потенциальный атакующий уже получил доступ в сеть, для дальнейшего захвата и полного контроля над инфраструктурой ему потребуется в среднем два дня, пояснили эксперты. Общий уровень защиты финансовых компаний от атак такого типа оценивается экспертами как "крайне низкий". В частности, в восемь из 10 банков системы антивирусной защиты, установленные на рабочих станциях и серверах, не препятствовали, например, запуску специализированных утилит, используемых для получения из памяти учетных записей. Также встречались уязвимости, позволяющие получить полный контроль над ОС Windows. Также во всех организациях, где проводился внутренний пентест, удалось получить максимальные привилегии в корпоративной инфраструктуре.

В компании также добавили, что помимо уязвимостей ПО не меньший интерес для злоумышленников представляют и простые пароли пользователей. "Подавляющее большинство успешно подобранных в ходе пентестов паролей были составлены предсказуемым образом <...> К примеру, в одном из банков было подобрано более 500 учетных записей с паролем qwerty123 для доменных учетных записей", - отметили эксперты.

"Результатом пентеста в одном из случаев и вовсе стало выявление следов более ранних взломов. То есть банк не только был успешно атакован реальным злоумышленником, но и не смог своевременно выявить такое нападение, - рассказал руководитель отдела аналитики информационной безопасности Евгений Гнедин. - Учитывая такие факты, а также общий невысокий уровень защищенности, мы рекомендуем регулярно проводить тестирование на проникновение и тренинги сотрудников информационной безопасности. Это позволит обнаруживать и своевременно устранять потенциальные векторы атак на критически важные ресурсы, а также отработать действия служб ИБ в случае выявления реальной кибератаки, повысить эффективность используемых средств защиты и мониторинга".

Правительство РФ утвердило правила централизованного управления сетью связи общего пользования и виды угроз устойчивой, целостной и безопасной работы Рунета. Соответствующее постановление кабмина размещено на официальном интернет-портале правовой информации.

Согласно подписанному 1 мая 2019 года президентом РФ Владимиром Путиным закону об обеспечении устойчивой работы российского сегмента интернета (Рунета) в случае возникновения угроз устойчивой, безопасной и целостной работе Рунета на территории России централизованное управление сетью связи общего пользования осуществляет Роскомнадзор.

Помимо него, участниками централизованного управления сетью являются операторы связи и другие организации, участвующие в процессе передачи данных через интернет.

Так, кабмин разделил список угроз устойчивой работы Рунета на три типа: угрозы устойчивости, безопасности и целостности функционирования Рунета. Угрозы устойчивости функционирования - это нарушение работоспособности интернета при неисправности фрагмента связи, а также в условиях внешних дестабилизирующих воздействий природного и техногенного характера.

Подобные угрозы прежде всего опасны в случае необходимости доступа к вызову экстренных служб или для поддержания критически важной информационной инфраструктуры.

Угрозы безопасности функционирования Рунета подразумевают нарушение способности противостоять кибератакам извне, при которых нарушается функционирование интернета в РФ или начинает распространяться запрещенная законом информация. Под угрозами целостности понимается невозможность осуществлять передачу данных через интернет.

В постановлении указывается, что все угрозы устойчивой работы Рунета определяются Минкомсвязью и Роскомнадзором, который в свою очередь по согласованию с министерством определяет регламент реагирования на эти угрозы.

Читайте также:

Минкомсвязь в 2020 году четыре раза проведет учения по обеспечению устойчивости Рунета