✔MEGANews. Самые важные события в мире инфосека за июль - «Новости»

В стандарте TETRA нашли множество проблем

Ис­сле­дова­тели выяви­ли пять уяз­вимос­тей в стан­дарте TETRA (Terrestrial Trunked Radio), который исполь­зуют пра­воох­ранитель­ные орга­ны, воен­ные и опе­рато­ры кри­тичес­кой инфраструк­туры по все­му миру. Уяз­вимос­ти получи­ли общее наз­вание TETRA:BURST и поз­воля­ют рас­шифро­вывать дан­ные в режиме реаль­ного вре­мени. При этом экспер­ты счи­тают, что обна­ружи­ли бэк­дор, который, похоже, был соз­дан намерен­но.

Стан­дарт TETRA раз­работан Евро­пей­ским инсти­тутом телеком­муника­цион­ных стан­дартов (ETSI) в 1995 году и с тех пор широко при­меня­ется более чем в 100 стра­нах мира. Час­то TETRA исполь­зует­ся в качес­тве полицей­ской сис­темы ради­освя­зи, а так­же для управле­ния кри­тичес­кими сис­темами, вклю­чая элек­три­чес­кие сети, газоп­роводы и желез­ные дороги. В Рос­сии и в стра­нах ЕС TETRA при­меня­ется в слу­жеб­ных и тех­нологи­чес­ких сетях свя­зи (речевой и для переда­чи дан­ных) желез­нодорож­ного тран­спор­та.

По информа­ции изда­ния Wired, TETRA исполь­зуют как минимум двад­цать кри­тичес­ки важ­ных инфраструк­тур в США. В их чис­ло вхо­дят элек­тро­энер­гетичес­кие пред­при­ятия, пог­ранич­ная служ­ба, неф­тепере­раба­тыва­ющий завод, химичес­кие заводы, круп­ная сис­тема общес­твен­ного тран­спор­та, три меж­дународ­ных аэро­пор­та и учеб­ная база армии США.

Проб­лемы были выяв­лены гол­ланд­ской ком­пани­ей Midnight Blue еще в 2021 году, и на сегод­няшний день нет доказа­тель­ств того, что уяз­вимос­ти исполь­зовались зло­умыш­ленни­ками.

В нас­тоящее вре­мя для некото­рых уяз­вимос­тей из спис­ка TETRA:BURST уже выпуще­ны исправ­ления, и теперь иссле­дова­тели смог­ли рас­ска­зать о багах пуб­лично. При этом не все проб­лемы в целом мож­но испра­вить с помощью пат­чей, и пока неяс­но, какие про­изво­дите­ли уже под­готови­ли исправ­ления для сво­их кли­ентов.

«В зависи­мос­ти от кон­фигура­ции инфраструк­туры и кон­крет­ных устрой­ств, уяз­вимос­ти поз­воля­ют выпол­нять рас­шифров­ку дан­ных в реаль­ном вре­мени, ата­ки типа „сбор сей­час — рас­шифров­ка поз­же“, а так­же осу­щест­влять инъ­екции сооб­щений, деано­ними­зацию поль­зовате­лей и при­вяз­ку сеан­сового клю­ча», — сооб­щают спе­циалис­ты.

В осно­ве TETRA лежит набор сек­ретных проп­риетар­ных крип­тогра­фичес­ких алго­рит­мов: набор TETRA Authentication Algorithm (TAA1), пред­назна­чен­ный для аутен­тифика­ции и рас­пре­деле­ния клю­чей, а так­же набор TETRA Encryption Algorithm (TEA) для Air Interface Encryption (AIE).

В целом стан­дарт вклю­чает четыре алго­рит­ма шиф­рования — TEA1, TEA2, TEA3 и TEA4, которые могут исполь­зовать­ся про­изво­дите­лями в раз­личных про­дук­тах (в зависи­мос­ти от их пред­назна­чения и заказ­чика). Так, TEA1 рекомен­дован для ком­мерчес­кого исполь­зования и при­меня­ется в кри­тичес­кой инфраструк­туре ЕС и дру­гих стран мира, одна­ко, сог­ласно ETSI, он так­же ори­енти­рован на исполь­зование служ­бами общес­твен­ной безопас­ности и воен­ными. Сами иссле­дова­тели обна­ружи­ли, что некото­рые полицей­ские ведомс­тва тоже полага­ются на TEA1.

TEA2 пред­назна­чен для евро­пей­ской полиции, служб экс­трен­ной помощи, воен­ных и спец­служб. TEA3 дос­тупен для полиции и служб экс­трен­ной помощи за пре­дела­ми ЕС — в стра­нах, счи­тающих­ся «дру­жес­твен­ными» по отно­шению к евро­пей­ским, вклю­чая Мек­сику и Индию. «Нед­ружес­твен­ные» стра­ны, нап­ример Иран, могут исполь­зовать толь­ко TEA1. Что каса­ется TEA4, по сло­вам иссле­дова­телей, он поч­ти ниг­де не при­меня­ется.

Все алго­рит­мы охра­няют­ся как ком­мерчес­кая тай­на и защище­ны стро­гими сог­лашени­ями о нераз­гла­шении.

Что­бы доб­рать­ся до алго­рит­мов и изу­чить их, иссле­дова­тели при­обре­ли на eBay ради­останцию Motorola MTM5400 и пот­ратили четыре месяца на поиск и извле­чение алго­рит­мов из защищен­ного анкла­ва в про­шив­ке устрой­ства. Им приш­лось исполь­зовать ряд 0-day-экс­пло­итов, что­бы обой­ти защиту Motorola (ком­пании сооб­щили о них и дали воз­можность испра­вить). В ито­ге в ходе реверс‑инжи­нирин­га TAA1 и TEA иссле­дова­тели выяви­ли пять проб­лем, от нез­начитель­ных до кри­тичес­ких:

• CVE-2022-24400 — ошиб­ка в алго­рит­ме аутен­тифика­ции поз­воля­ет зло­умыш­ленни­кам уста­новить для Derived Cypher Key (DCK) зна­чение 0;




• CVE-2022-24401 — генера­тор клю­чевых пос­ледова­тель­нос­тей Air Interface Encryption (AIE) исполь­зует сетевое вре­мя, которое переда­ется откры­то, без аутен­тифика­ции, что допус­кает рас­шифров­ку и oracle-ата­ки;




• CVE-2022-24402 — TEA1 име­ет бэк­дор, который сок­раща­ет исходный 80-бит­ный ключ до таких раз­меров (32 бита — мень­ше полови­ны дли­ны клю­ча), что его мож­но за счи­таные минуты подоб­рать брут­форсом на обыч­ном пот­ребитель­ском ноут­буке;




• CVE-2022-24403 — крип­тогра­фичес­кая схе­ма, исполь­зуемая для обфуска­ции ради­оиден­тифика­торов, поз­воля­ет зло­умыш­ленни­кам деано­ними­зиро­вать и отсле­живать поль­зовате­лей;




• CVE-2022-24404 — отсутс­тву­ет ciphertext-аутен­тифика­ция в AIE, что поз­воля­ет про­водить так называ­емые ата­ки на гиб­кость (malleability attack).

Ис­сле­дова­тели объ­ясня­ют, что вли­яние перечис­ленных уяз­вимос­тей в зна­читель­ной сте­пени зависит от того, как TETRA исполь­зует­ся, нап­ример от того, переда­ются ли этим спо­собом голос или дан­ные, а так­же какой имен­но крип­тогра­фичес­кий алго­ритм при­менен.

Серь­езнее всех сре­ди обна­ружен­ных проб­лем CVE-2022-24401, которая может исполь­зовать­ся для рас­кры­тия тек­сто­вых и голосо­вых сооб­щений или дан­ных без клю­ча шиф­рования.

Вто­рая кри­тичес­кая уяз­вимость, CVE-2022-24402, обна­ружен­ная в TEA1, поз­воля­ет зло­умыш­ленни­кам выпол­нять инжекты в тра­фик, который исполь­зует­ся для монито­рин­га и кон­тро­ля про­мыш­ленно­го обо­рудо­вания.

По сло­вам экспер­тов, рас­шифров­ка тра­фика и инъ­екции вре­донос­ного тра­фика могут поз­волить зло­умыш­ленни­ками совер­шать раз­личные опас­ные дей­ствия, вклю­чая раз­мыкание авто­мати­чес­ких вык­лючате­лей на элек­три­чес­ких под­стан­циях, что, нап­ример, может при­вес­ти к отклю­чению элек­тро­энер­гии, как про­исхо­дило во вре­мя атак мал­вари Industroyer.

«Уяз­вимость в TEA1 (CVE-2022-24402), оче­вид­но, явля­ется резуль­татом пред­намерен­ного ослабле­ния», — утвер­жда­ют спе­циалис­ты Midnight Blue. По их сло­вам, эффектив­ная энтро­пия клю­ча умень­шена намерен­но и, судя по все­му, речь идет о самом нас­тоящем бэк­доре.

В ответ на эти обви­нения в ETSI заяви­ли, что «стан­дарты безопас­ности TETRA были опре­деле­ны сов­мес­тно с наци­ональ­ными служ­бами безопас­ности, раз­работа­ны в соот­ветс­твии с пра­вила­ми экспортно­го кон­тро­ля и под­пада­ют под их дей­ствие, что опре­деля­ет стой­кость шиф­рования». В Евро­пей­ском инсти­туте телеком­муника­цион­ных стан­дартов отме­тили, что в 1995 году 32-бит­ный ключ обес­печивал дол­жную безопас­ность, одна­ко его надеж­ность осла­били дос­тупные теперь вычис­литель­ные мощ­ности.

Ис­сле­дова­тели Midnight Blue пла­ниру­ют пред­ста­вить свои выводы в сле­дующем месяце на кон­ферен­ции Black Hat в Лас‑Вегасе, пос­ле чего будет опуб­ликован деталь­ный тех­ничес­кий ана­лиз и сек­ретные алго­рит­мы шиф­рования TETRA, которые рань­ше были недос­тупны широкой общес­твен­ности. Спе­циалис­ты наде­ются, что их кол­леги, обла­дающие боль­шим опы­том, смо­гут изу­чать алго­рит­мы и, веро­ятно, выявить дру­гие проб­лемы TETRA.

• По дан­ным ана­лити­ков Similarweb, эффект новиз­ны про­шел и тра­фик ChatGPT впер­вые стал демонс­три­ровать сни­жение. Так, в июне 2023 года тра­фик чат‑бота сок­ратил­ся на 9,7% по срав­нению с маем текуще­го года.
  


• Так­же на 8,5% сок­ратилось количес­тво вре­мени, которое посети­тели про­водят на сай­те. Вмес­те с вов­лечен­ностью пада­ет и количес­тво уни­каль­ных посети­телей, которое в июне «про­село» на 5,7%. Одна­ко отме­чает­ся, что ChatGPT по‑преж­нему прив­лека­ет боль­ше посети­телей, чем bing.com или Character.AI.
  

Илья Сачков приговорен к 14 годам тюрьмы

Ос­нователь и быв­ший гла­ва ком­пании Group-IB Илья Сач­ков при­гово­рен к 14 годам колонии стро­гого режима и штра­фу в 500 тысяч руб­лей по делу о госиз­мене (ст. 275 УК РФ). Свою вину Сач­ков не приз­нает, его защит­ники заяви­ли о намере­нии обжа­ловать при­говор и обра­тить­ся к пре­зиден­ту РФ.

26 июля 2023 года Мос­ков­ский город­ской суд вынес обви­нитель­ный при­говор осно­вате­лю ком­пании Group-IB (теперь FACCT). Дело рас­смат­ривалось в зак­рытом режиме трой­кой судей, и, в чем имен­но суд приз­нал Сач­кова винов­ным, неиз­вес­тно, так как дела по госиз­мене засек­речены. Сог­ласно решению суда, один день в СИЗО будет зач­тен за один день сро­ка в колонии.

На­пом­ним, что Илья Сач­ков был арес­тован в сен­тябре 2021 года по подоз­рению в госиз­мене, а в офи­сах Group-IB тог­да прош­ли обыс­ки. С это­го момен­та он находил­ся под следс­тви­ем в СИЗО «Лефор­тово».

Как теперь сооб­щают СМИ, сто­рона обви­нения зап­рашива­ла для Сач­кова 18 лет колонии, и 24 июня в Telegram-канале Сач­кова появил­ся ком­мента­рий о зап­рошен­ном про­кура­турой сро­ке зак­лючения:

«Эта циф­ра не меша­ет мне с улыб­кой, дос­тоинс­твом и чет­ким холод­нокров­ным про­фес­сиона­лиз­мом делать, что дол­жно. Я всю жизнь работаю с циф­рами, чис­лами, кодами, и ни одна из них меня в сту­пор не вво­дила. <...> Если будет обви­нитель­ный при­говор, это будет одна из самых успешных опе­раций аме­рикан­ских спец­служб и оче­ред­ной спла­ниро­ван­ный удар по рос­сий­ско­му IT-сек­тору».

Пред­ста­вите­ли ком­пании FACCT уже опуб­ликова­ли офи­циаль­ное заяв­ление о вынесен­ном Сач­кову при­гово­ре. В ком­пании отме­тили, что сот­рудни­ки стой­ко вос­при­няли слу­чив­шееся, они про­дол­жают под­держи­вать Илью и наде­ются, что он вый­дет на сво­боду и будет реаби­лити­рован, «как это неод­нократ­но про­исхо­дило в исто­рии».

«Это тяжелый момент для всех нас и чер­ный день для рын­ка кибер­безопас­ности. Илья Сач­ков, мой друг, кол­лега, соз­датель одной из самых успешных высоко­тех­нологич­ных ком­паний в сфе­ре кибер­безопас­ности — в резуль­тате „ско­рого суда“ отправ­лен в колонию. Илья — куль­товая фигура в мире кибер­безопас­ности. Выб­рав делом сво­ей жиз­ни соз­дание инже­нер­ных тех­нологий мирово­го клас­са для про­тиво­дей­ствия кибер­прес­тупнос­ти, он мно­гое сде­лал, что­бы очис­тить рос­сий­ское и меж­дународ­ное кибер­пространс­тво от кри­мина­ла. И я уве­рен, сде­лал бы нам­ного боль­ше, тем более сей­час, ког­да на кону — кибер­безопас­ность государс­тва, а мас­штаб и час­тота кибера­так рас­тут с каж­дым месяцем. Потен­циал Ильи как челове­ка, как лич­ности, как про­фес­сиона­ла огро­мен. Он соз­дал оте­чес­твен­ные кон­курен­тоспо­соб­ные экспортные тех­нологии, они успешны и приз­наны во всем мире. Как Илья лич­но, так и ком­пания име­ют мно­жес­тво наг­рад и бла­годарс­твен­ных писем от пра­воох­ранитель­ных орга­нов. Его изо­ляция — это потеря для все­го ИТ‑рын­ка, и вмес­те с тем, веро­ятно, она обра­дует тех, с кем он борол­ся, — реаль­ных кибер­прес­тупни­ков. Но мы про­дол­жим его дело и, как преж­де, будем раз­рабаты­вать решения для информа­цион­ной безопас­ности, опе­режа­ющие вре­мя, сле­довать нашей мис­сии и защищать как ком­пании, так и всех поль­зовате­лей. Дела­ем», — говорит Валерий Баулин, генераль­ный дирек­тор ком­пании FAССT.

В ком­пании сооб­щают, что нес­мотря на зак­лючение под стра­жу, Сач­ков про­дол­жает работать над про­екта­ми и тех­нологи­ями кибер­безопас­ности, и, по его сло­вам, он про­дол­жит эту работу, где бы ни находил­ся.

Так­же под­черки­вает­ся, что все под­разде­ления FACCT работа­ют в штат­ном режиме, и ком­пания бла­года­рит кли­ентов, пар­тне­ров, пред­ста­вите­лей комь­юни­ти по кибер­безопас­ности и жур­налис­тов за сло­ва под­дер­жки.

• Спе­циалис­ты Chainalysis под­счи­тали, что вымога­тель­ство ста­ло единс­твен­ной катего­рией крип­товалют­ных прес­тупле­ний, в которой в этом году наб­люда­ется рост. Так, в 2023 году хакеры вымога­ли у сво­их жертв на 175,8 мил­лиона дол­ларов боль­ше, чем год назад.
  


• Толь­ко за июнь 2023 года хакеры пот­ребова­ли у жертв 449,1 мил­лиона дол­ларов. Если такие тем­пы сох­ранят­ся, зло­умыш­ленни­ки сум­марно зат­ребу­ют у сво­их жертв око­ло 898,6 мил­лиона дол­ларов в 2023 году, усту­пая лишь рекор­дным 939,9 мил­лиона дол­ларов в 2021 году.
  

• Дви­жущей силой это­го рез­кого рос­та доходов вымога­телей счи­тают так называ­емую «охо­ту на круп­ную дичь», пос­коль­ку кибер­прес­тупни­ки сос­редото­чились на ата­ках на круп­ные орга­низа­ции, у которых мож­но тре­бовать боль­шие сум­мы денег.
  


• Эта тен­денция отчетли­во вид­на на гра­фике рас­пре­деле­ния вымога­тель­ских пла­тежей, который демонс­три­рует замет­ный рост круп­ных выкупов.
  

• Ли­дера­ми в спис­ке получа­телей круп­ных пла­тежей ста­ли груп­пиров­ки BlackBasta, ALPHV/Blackcat и Clop.
  


• Сред­ний раз­мер выкупа Clop сос­тавля­ет 1,7 мил­лиона дол­ларов, а меди­анный — 1,9 мил­лиона дол­ларов.
  

Google создает «DRM для интернета»

Ко­ман­да из четырех инже­неров Google работа­ет над новым веб-API под наз­вани­ем Web Environment Integrity, который поз­волит сай­там бло­киро­вать кли­ент­ские при­ложе­ния, изме­няющие их код. Плю­сы с точ­ки зре­ния безопас­ности оче­вид­ны, но, помимо того, новый API фак­тичес­ки поможет Google и опе­рато­рам сай­тов эффектив­но бороть­ся с бло­киров­щиками рек­ламы.

Ос­новная цель про­екта — узнать боль­ше о челове­ке по ту сто­рону бра­узе­ра, удос­товерить­ся, что он не робот, а бра­узер не был модифи­циро­ван или под­делан каким‑либо обра­зом.

Раз­работ­чики заяв­ляют, что такие дан­ные будут полез­ны рек­ламода­телям для под­сче­та показов рек­ламы, помогут бороть­ся с ботами в соци­аль­ных сетях, защитят пра­ва на интеллек­туаль­ную собс­твен­ность, будут про­тивос­тоять читерс­тву в веб‑играх, а так­же повысят безопас­ность финан­совых тран­закций.

То есть, на пер­вый взгляд, Web Environment Integrity API раз­рабаты­вает­ся как защит­ное решение, что­бы сай­ты мог­ли обна­ружи­вать вре­донос­ные модифи­кации кода на сто­роне кли­ента и отклю­чать вре­донос­ных кли­ентов.

При этом авто­ры Web Integrity API пишут, что вдох­новля­лись «сущес­тву­ющи­ми натив­ными сиг­налами аттеста­ции, вклю­чая Apple App Attest и Android Play Integrity API».

Здесь сто­ит пояс­нить, что Play Integrity (ранее SafetyNet) пред­став­ляет собой API для Android, поз­воля­ющий при­ложе­ниям выяс­нить, было ли устрой­ство рутиро­вано. Root-дос­туп поз­воля­ет получить пол­ный кон­троль над устрой­ством, и мно­гим раз­работ­чикам при­ложе­ний такое не нра­вит­ся. Поэто­му пос­ле получе­ния соот­ветс­тву­юще­го сиг­нала от Android Integrity API некото­рые типы при­ложе­ний могут прос­то отка­зать­ся запус­кать­ся.

Как пра­вило, в таких слу­чаях отка­зыва­ются работать бан­ков­ские при­ложе­ния, Google Wallet, онлайн‑игры, Snapchat, а так­же некото­рые муль­тимедий­ные при­ложе­ния (нап­ример, Netflix). Ведь счи­тает­ся, что root-дос­туп может исполь­зовать­ся для читерс­тва в играх или фишин­га бан­ков­ских дан­ных. Хотя root-дос­туп так­же может понадо­бить­ся для нас­трой­ки устрой­ства, уда­ления вре­донос­ного ПО или соз­дания сис­темы резер­вно­го копиро­вания, Play Integrity такие вари­анты при­мене­ния не рас­смат­рива­ет и в любом слу­чае бло­киру­ет дос­туп.

Как теперь пред­полага­ют ИБ‑спе­циалис­ты, Google стре­мит­ся реали­зовать то же самое в мас­шта­бах все­го интерне­та.

По замыс­лу Google, в ходе тран­закции веб‑стра­ницы сер­вер может пот­ребовать от поль­зовате­ля прой­ти тест environment attestation, преж­де чем тот получит какие‑либо дан­ные. В этот момент бра­узер свя­жет­ся со сто­рон­ним сер­вером аттеста­ции, и поль­зователь дол­жен будет прой­ти опре­делен­ный тест. Если про­вер­ка прой­дена, поль­зователь получа­ет под­писан­ный Integrity Token, который под­твержда­ет целос­тность его сре­ды и ука­зыва­ет на кон­тент, который нуж­но раз­бло­киро­вать. Затем токен переда­ется обратно на сер­вер, и если сер­вер доверя­ет ком­пании‑аттеста­тору, то кон­тент раз­бло­киру­ется, а человек наконец получит дос­туп к нуж­ным дан­ным.

Как теперь опа­сают­ся мно­гие, если бра­узе­ром в таком при­мере будет выс­тупать Chrome и сер­вер аттеста­ции тоже будет при­над­лежать Google, то имен­но Google будет решать, пре­дос­тавить или не пре­дос­тавить челове­ку дос­туп к сай­там.

При этом в ком­пании уве­ряют, что Google не собира­ется исполь­зовать опи­сан­ную фун­кци­ональ­ность во вред. Так, соз­датели Web Integrity API «твер­до уве­рены», что их API не дол­жен исполь­зовать­ся для фин­гер­прин­тинга людей, хотя вмес­те с этим они хотят получить «некий инди­катор, поз­воля­ющий огра­ничить ско­рость по отно­шению к физичес­кому устрой­ству».

Так­же заяв­лено, что ком­пания не хочет «вме­шивать­ся в фун­кци­ональ­ность бра­узе­ра, вклю­чая пла­гины и рас­ширения». Таким обра­зом раз­работ­чики дают понять, что яко­бы не собира­ются бороть­ся с бло­киров­щиками рек­ламы, хотя в ком­пании мно­го лет работа­ют над скан­даль­ным Manifest V3, чья цель сос­тоит имен­но в этом. А новый API мож­но исполь­зовать для обна­руже­ния того, что бло­киров­щик рек­ламы вме­шива­ется в рек­ламный код. Пос­ле это­го опе­ратор сай­та будет волен поп­росту прек­ратить пре­дос­тавле­ние услуг.

Об­сужде­ние этой темы в сети уже спро­воци­рова­ло вол­ну кри­тики в адрес Google, а про­ект окрести­ли «DRM для интерне­та». К при­меру, раз­работ­чики, ИБ‑спе­циалис­ты и прос­тые поль­зовате­ли от­меча­ют, что про­ект Web Integrity API намерен­но раз­меща­ется на GitHub одно­го из раз­работ­чиков, а Google ста­рает­ся дис­танци­ровать­ся от раз­работ­ки, которая может отра­вить сущес­тву­ющие веб‑стан­дарты, помогая ком­пании сох­ранить рек­ламный биз­нес.

Дис­куссия на Issues-стра­нице про­екта на GitHub так­же каса­ется пре­иму­щес­твен­но эти­чес­ких аспектов про­исхо­дяще­го, а Google обви­няют в попыт­ке стать монопо­лис­том в оче­ред­ной области и «убить» бло­киров­щики рек­ламы.

В этом месяце «Хакер» по­гово­рил с одним из авто­ров «хакер­ско­го тамаго­чи» Flipper Zero Пав­лом Жов­нером. В интервью Павел под­твер­дил, что работа над вто­рым и более прод­винутым вари­антом хакер­ско­го муль­титула, Flipper One, уже ведет­ся.

Ис­ходно стар­шая модель «хакер­ско­го тамаго­чи» пла­ниро­валась как более прод­винутая вер­сия Flipper, ори­енти­рован­ная на ата­ки на про­вод­ные и бес­про­вод­ные сети. One дол­жен был обла­дать всей фун­кци­ональ­ностью Zero, а так­же иметь отдель­ный ARM-компь­ютер с Kali Linuх на бор­ту.

«Мы сей­час работа­ем над Flipper One, но пока не сов­сем понима­ем, каким он дол­жен быть. Мы хотим вооб­ще жир­ный ком­байн с FPGA и SDR, в котором все про­токо­лы мож­но будет опре­делить прог­рам­мно, но пока есть сом­нения, будут ли покупать устрой­ство за 300–500 дол­ларов.

Так что про­ект в активном R&D, но пока нет понима­ния по важ­ным час­тям. Нап­ример, не выб­рали модуль Wi-Fi, потому что все сущес­тву­ющие чипы, при­год­ные для атак, уже уста­рели. Воз­можно, при­дет­ся спон­сировать раз­работ­ку сво­его драй­вера. В общем, уви­дим», — сооб­щил Жов­нер.

Сертификаты Let’s Encrypt перестанут работать в Android 7

Раз­работ­чики пре­дуп­режда­ют, что с 8 фев­раля 2024 года сер­тифика­ты Let’s Encrypt перес­танут работать в Android 7 и более ста­рых вер­сиях мобиль­ной ОС.

Соз­датели Let’s Encrypt вер­нулись к проб­леме ста­рых Android-устрой­ств, о которой впер­вые загово­рили еще в 2020 году. Они напоми­нают, что пос­ле запус­ка сер­виса им нуж­но было убе­дить­ся, что сер­тифика­ты Let’s Encrypt поль­зуют­ся широким довери­ем. С этой целью была орга­низо­вана перек­рес­тная под­пись про­межу­точ­ных сер­тифика­тов с IdenTrust DST Root X3. Это озна­чало, что все сер­тифика­ты, выдан­ные опос­редован­но, так­же будут доверен­ными, даже если собс­твен­ный ISRG Root X1 ком­пании таковым еще не был.

Проб­лемы начались, ког­да выяс­нилось, что в кон­це 2021 года исте­кает срок дей­ствия про­межу­точ­ных сер­тифика­тов с перек­рес­тны­ми под­писями, а так­же срок пар­тнерс­тва меж­ду Let’s Encrypt и орга­низа­цией IdenTrust (и прод­лять его не пла­ниро­валось).

Хо­тя сов­ремен­ные бра­узе­ры на тот момент уже доверя­ли кор­невому сер­тифика­ту Let’s Encrypt, более тре­ти всех Android-устрой­ств по‑преж­нему работа­ли под управле­нием ста­рых вер­сий ОС, которые мог­ли вне­зап­но перес­тать доверять сай­там, исполь­зующим сер­тифика­ты Let’s Encrypt.

В ито­ге пред­полага­лось, что осенью 2021 года поль­зовате­ли ста­рых устрой­ств нач­нут мас­сово испы­тывать слож­ности с дос­тупом к сай­там, а так­же получать сооб­щения об ошиб­ках сер­тифика­тов. Тог­да инже­неры Let’s Encrypt под­счи­тали, что на таких поль­зовате­лей при­ходит­ся при­мер­но 1–5% все­го тра­фика.

Так как подоб­ный гло­баль­ный сбой был недопус­тим, в ком­пании ре­шили проб­лему, орга­низо­вав новую перек­рес­тную под­пись, которая дол­жна была прос­лужить доль­ше самого DST Root CA X3. Эта вре­мен­ная мера поз­волила ста­рым устрой­ствам на базе Android про­дол­жать доверять сер­тифика­там ком­пании еще три года. Одна­ко срок вновь исте­кает 30 сен­тября 2024 года.

Как теперь пишут раз­работ­чики, за пос­ледние три года про­цент устрой­ств на Android, которые доверя­ют ISRG Root X1, вырос с 66 до 93,9%. Ожи­дает­ся, что этот про­цент еще уве­личит­ся в течение сле­дующе­го года, осо­бен­но ког­да вый­дет Android 14, где появит­ся воз­можность обно­вить кор­невые сер­тифика­ты без пол­ного обновле­ния ОС.

Так как про­дол­жать под­держи­вать сов­мести­мость боль­ше не нуж­но (и это поможет ком­пании зна­читель­но сни­зить опе­раци­онные рас­ходы), в Let’s Encrypt сооб­щают, что за пери­од с 8 фев­раля 2024 года по 30 сен­тября 2024 года отка­жут­ся от ста­рой перек­рес­тной под­писи. Из‑за это­го у вла­дель­цев устрой­ств, работа­ющих под управле­нием Android 7 и более ста­рых вер­сий опе­раци­онной сис­темы, воз­никнут проб­лемы.

«Если вы исполь­зуете Android 7.0 или более ран­нюю вер­сию ОС, вам может пот­ребовать­ся при­нять меры, что­бы обес­печить себе дос­туп к сай­там, защищен­ным сер­тифика­тами Let’s Encrypt. Мы рекомен­дуем уста­новить и исполь­зовать Firefox Mobile, который исполь­зует собс­твен­ное хра­нили­ще доверен­ных сер­тифика­тов вмес­то хра­нили­ща доверен­ных сер­тифика­тов ОС Android и, сле­дова­тель­но, доверя­ет ISRG Root X1», — пишут раз­работ­чики.

Вла­дель­цам сай­тов, которые могут заметить падение тра­фика во вто­ром и треть­ем квар­талах 2024 года, рекомен­дует­ся дать сво­им посети­телям такой же совет: исполь­зовать Firefox Mobile или обно­вить устрой­ство.

• По резуль­татам иссле­дова­ния «Лабора­тории Кас­пер­ско­го», око­ло полови­ны опро­шен­ных рос­сий­ских поль­зовате­лей (56%) в прин­ципе не готовы час­то отве­чать на голосо­вые сооб­щения. Еще 64% рес­понден­тов нор­маль­но отно­сят­ся к таким сооб­щени­ям толь­ко в том слу­чае, если они приш­ли от дру­зей или родс­твен­ников.
  


• 
  79% поль­зовате­лей счи­тают, что в пуб­личных мес­тах слу­шать голосо­вые сооб­щения неком­фор­тно, а 50% — что информа­цию из них труд­но запоми­нать или переп­роверять.
  

У Microsoft украли важный криптографический ключ

В середи­не июля 2023 года ста­ло извес­тно, что у ком­пании Microsoft был похищен крип­тогра­фичес­кий ключ MSA (Microsoft account consumer signing key), что при­вело к мас­совой ата­ке на Exchange Online и Azure Active Directory (AD) более 25 орга­низа­ций по все­му миру, вклю­чая пра­витель­ствен­ные учрежде­ния в США и стра­нах Запад­ной Евро­пы.

Как ока­залось, еще в середи­не мая зло­умыш­ленни­кам из китай­ской груп­пиров­ки Storm-0558 уда­лось получить дос­туп к учет­ным записям, при­над­лежащим при­мер­но 25 орга­низа­циям, а так­же к некото­рым учет­ным записям поль­зовате­лей, которые, веро­ятно, были свя­заны с эти­ми орга­низа­циями. Наз­вания пос­тра­дав­ших орга­низа­ций и госуч­режде­ний не были рас­кры­ты. Извес­тно лишь, что в чис­ле пос­тра­дав­ших Гос­деп и Минис­терс­тво тор­говли США.

Как объ­ясня­ли тог­да в Microsoft, для этой ата­ки зло­умыш­ленни­ки исполь­зовали токены аутен­тифика­ции, под­делан­ные с помощью крип­тогра­фичес­кого клю­ча MSA, который при­меня­ется для под­писания токенов. Из‑за 0-day-проб­лемы, свя­зан­ной с валида­цией в GetAccessTokenForResourceAPI, хакеры смог­ли под­делать чужие под­писан­ные токены Azure Active Directory (Azure AD или AAD) и выдать себя за сво­их жертв.

При этом в Microsoft до сих пор не объ­ясни­ли, как имен­но такой важ­ный ключ MSA вооб­ще ока­зал­ся в руках хакеров.

Бо­лее того, по дан­ным ана­лити­ков ком­пании Wiz, спе­циали­зиру­ющей­ся на облачной безопас­ности, проб­лема куда серь­езнее, чем ее пре­под­носит Microsoft. Иссле­дова­тели счи­тают, что проб­лема зат­ронула все при­ложе­ния Azure AD, работа­ющие с Microsoft OpenID v2.0. Дело в том, что укра­ден­ный ключ мог под­писать любой токен дос­тупа OpenID v2.0 для лич­ных учет­ных записей (нап­ример, Xbox, Skype) и муль­титенан­тных при­ложе­ний AAD при опре­делен­ных усло­виях.

Хо­тя Microsoft заяв­ляла, что пос­тра­дали толь­ко Exchange Online и Outlook, по мне­нию спе­циалис­тов Wiz, хакеры мог­ли исполь­зовать ском­про­мети­рован­ный ключ, что­бы выдать себя за любую учет­ную запись в любом пос­тра­дав­шем кли­ент­ском или облачном при­ложе­нии Microsoft. В их чис­ло вхо­дят managed-при­ложе­ния Microsoft, такие как Outlook, SharePoint, OneDrive и Teams, а так­же кли­ент­ские при­ложе­ния, под­держи­вающие аутен­тифика­цию Microsoft Account, вклю­чая те, которые поз­воля­ют исполь­зовать фун­кци­ональ­ность Login with Microsoft.

«Всё в эко­сис­теме Microsoft исполь­зует для дос­тупа токены аутен­тифика­ции Azure Active Directory, — объ­ясня­ют иссле­дова­тели. — Зло­умыш­ленник с клю­чом под­писи AAD — это самый силь­ный зло­умыш­ленник, которо­го толь­ко мож­но пред­ста­вить, пос­коль­ку он может получить дос­туп прак­тичес­ки к любому при­ложе­нию под видом любого поль­зовате­ля. Это нас­тоящая супер­спо­соб­ность — киберо­боро­тень».

В ответ на эти обви­нения иссле­дова­телей в Microsoft под­чер­кну­ли, что ком­пания отоз­вала все клю­чи MSA, что­бы гаран­тировать, что зло­умыш­ленни­ки не име­ют дос­тупа к дру­гим ском­про­мети­рован­ным клю­чам. Что пол­ностью пре­дот­вра­щает любые попыт­ки соз­дания новых токенов. Так­же в ком­пании говорят, что мно­гие заяв­ления экспер­тов Wiz «явля­ются спе­куля­тив­ными и не осно­ваны на фак­тах».

Со­обща­ется, что пос­ле анну­лиро­вания укра­ден­ного клю­ча спе­циалис­ты Microsoft не обна­ружи­ли допол­нитель­ных доказа­тель­ств, ука­зыва­ющих на несан­кци­они­рован­ный дос­туп к учет­ным записям кли­ентов с исполь­зовани­ем того же метода под­делки токенов. Кро­ме того, Microsoft отме­чает, что так­тика Storm-0558 изме­нилась и хакеры боль­ше не име­ют дос­тупа к каким‑либо клю­чам под­писи.

«На дан­ном эта­пе труд­но опре­делить пол­ные мас­шта­бы инци­ден­та, пос­коль­ку потен­циаль­но уяз­вимыми были мил­лионы при­ложе­ний (как при­ложе­ний Microsoft, так и при­ложе­ний кли­ентов) и в боль­шинс­тве из них отсутс­тву­ют необ­ходимые жур­налы, что­бы понять, были ли они ском­про­мети­рова­ны», — объ­ясня­ют экспер­ты Wiz.

Де­ло в том, что до это­го инци­ден­та воз­можнос­ти ведения жур­налов были дос­тупны толь­ко кли­ентам Microsoft, которые опла­тили соот­ветс­тву­ющую лицен­зию Purview Audit (Premium). Из‑за это­го Microsoft стол­кну­лась с серь­езной кри­тикой со сто­роны ИБ‑сооб­щес­тва, ког­да экспер­ты заяви­ли, что, по сути, сама Microsoft мешала орга­низа­циям опе­ратив­но обна­ружить ата­ки Storm-0558.

В резуль­тате под дав­лени­ем сооб­щес­тва и Агентства по кибер­безопас­ности и защите инфраструк­туры США (CISA) ком­пания сог­ласилась бес­плат­но рас­ширить дос­туп к дан­ным облачных жур­налов, что­бы защит­ники мог­ли обна­ружи­вать подоб­ные попыт­ки взло­ма в будущем.

• За пер­вые шесть месяцев 2023 года общее количес­тво фишин­говых писем, которые зло­умыш­ленни­ки отправ­ляют на кор­поратив­ные поч­ты рос­сий­ским ком­пани­ям, вырос­ло в 2,5 раза, пре­дуп­редили экспер­ты сер­виса защиты кор­поратив­ной элек­трон­ной поч­ты BI.ZONE. За ука­зан­ный пери­од спе­циалис­ты сер­виса заб­локиро­вали более 120 мил­лионов потен­циаль­но опас­ных писем.
  


• Сред­няя доля нежела­тель­ных писем, отправ­ленных рос­сий­ским ком­пани­ям, сос­тавля­ет 75% от обще­го чис­ла. Так, из 250 писем, отправ­ленных по элек­трон­ной поч­те, хотя бы од­но ока­зыва­ется фишин­говым.
  

WormGPT помогает устраивать фишинговые атаки

Спе­циалис­ты SlashNext обра­тили вни­мание, что прес­тупни­ки все чаще исполь­зуют генера­тив­ный ИИ в сво­их ата­ках. В час­тнос­ти, на хакер­ских форумах рек­ламиру­ется инс­тру­мент WormGPT, который пред­лага­ется при­менять для орга­низа­ции фишин­говых рас­сылок и ком­про­мета­ции деловой поч­ты (business email compromise, BEC).

«Этот инс­тру­мент пред­став­ляет собой blackhat-аль­тер­нативу извес­тным моделям GPT, раз­работан­ную спе­циаль­но для вре­донос­ных дей­ствий, — пишут иссле­дова­тели. — Кибер­прес­тупни­ки могут исполь­зовать эту тех­нологию для авто­мати­зиро­ван­ного соз­дания очень убе­дитель­ных фей­ковых писем, пер­сонали­зиро­ван­ных для получа­теля, что уве­личи­вает шан­сы на успех ата­ки».

WormGPT осно­ван на язы­ковой модели GPTJ, соз­данной в 2021 году. Он может пох­вастать­ся рядом фун­кций, вклю­чая неог­раничен­ную под­дер­жку сим­волов, сох­ранение исто­рии чатов и воз­можность фор­матиро­вания кода. Авто­ры называ­ют его «злей­шим вра­гом ChatGPT», который поз­воля­ет совер­шать «все­воз­можные незакон­ные дей­ствия».

Так­же соз­датели инс­тру­мен­та утвер­жда­ют, что он обу­чен на раз­ных наборах дан­ных, с упо­ром на дан­ные, свя­зан­ные с вре­донос­ными прог­рамма­ми. Одна­ко кон­крет­ные наборы дан­ных, исполь­зован­ные для обу­чения, не рас­кры­вают­ся.

По­лучив дос­туп к WormGPT, экспер­ты про­вели собс­твен­ные тес­ты. Так, в одном экспе­римен­те они поручи­ли WormGPT сге­нери­ровать мошен­ничес­кое пись­мо, которое дол­жно вынудить ничего не подоз­рева­юще­го менед­жера по работе с кли­ента­ми опла­тить мошен­ничес­кий счет.

В SlashNext говорят, что резуль­таты ока­зались «тре­вож­ными»: WormGPT соз­дал пись­мо, которое получи­лось весь­ма убе­дитель­ным, что «демонс­три­рует потен­циал для исполь­зования в изощ­ренных фишин­говых и BEC-ата­ках».

«Генера­тив­ный ИИ может соз­давать элек­трон­ные пись­ма с безуп­речной грам­матикой, повышая их [внеш­нюю] легитим­ность и сни­жая веро­ятность того, что они будут помече­ны как подоз­ритель­ные, — пишут спе­циалис­ты. — Исполь­зование генера­тив­ного ИИ зна­читель­но упро­щает выпол­нение слож­ных BEC-атак. Даже зло­умыш­ленни­ки с огра­ничен­ными навыка­ми могут исполь­зовать эту тех­нологию, что дела­ет ее дос­тупным инс­тру­мен­том для очень широко­го кру­га кибер­прес­тупни­ков».

Так­же иссле­дова­тели отме­чают тен­денцию, о которой еще в начале года пре­дуп­режда­ли их кол­леги из ком­пании Check Point: на хакер­ских форумах по‑преж­нему активно обсужда­ются раз­личные «джей­лбрей­ки» для ИИ типа ChatGPT.

Та­кие «джей­лбрей­ки» пред­став­ляют собой тща­тель­но про­думан­ные зап­росы, сос­тавлен­ные осо­бым обра­зом. Они пред­назна­чены для манипу­лиро­вания чат‑ботами с ИИ, что­бы генери­ровать отве­ты, которые могут содер­жать кон­фиден­циаль­ную информа­цию, нежела­тель­ный кон­тент и даже вре­донос­ный код.

• Инс­тру­мент Snappy поможет обна­ружить мошен­ничес­кие точ­ки дос­тупа Wi-Fi
  


• Rowhammer-ата­ку пред­ложили исполь­зовать для фин­гер­прин­тинга устрой­ств
  


• Поч­ти 40% уста­новок Ubuntu уяз­вимы перед новыми уяз­вимос­тями повыше­ния при­виле­гий
  


• Для регис­тра­ции на рос­сий­ских сай­тах может пот­ребовать­ся рос­сий­ский email-адрес
  


• Firefox будет бло­киро­вать работу аддо­нов на некото­рых сай­тах ради безопас­ности
  


• Эн­тузи­асты запус­тили сайт для обновле­ния ста­рых вер­сий Windows, вклю­чая 95, 98, NT 4.0, ME
  


• Microsoft отоз­вала сер­тифика­ты, которы­ми под­писали более 100 вре­донос­ных драй­веров ядра
  


• Ис­ходни­ки UEFI-бут­кита BlackLotus опуб­ликова­ли на GitHub
  


• Ата­ка Zenbleed рас­кры­вает кон­фиден­циаль­ные дан­ные на про­цес­сорах AMD Zen2
  


• Google соз­дает red team для атак на ИИ‑сис­темы