6242
Регулярные новости и интересные публикации в сфере ITsec. По вопросам сотрудничества писать @cyberhackGL
⚡️Минцифры вводит строгие правила для ПО госкомпаний: что изменится?
💬Минцифры пояснило новые критерии для включения в реестр российского ПО . Эта инициатива направлена на повышение качества отечественных продуктов и поддержку госкомпаний в переходе на российские решения.
Нововведения предусматривают, что ПО госкомпаний будет включаться в реестр только при отсутствии аналогов в нём. Это позволит стимулировать развитие коммерческого ПО. Исключения составят случаи, когда:
разработка госкомпании не имеет альтернатив в реестре;
решения востребованы на рынке, а их продажи аффилированным лицам не превышают 30%.
Для адаптации предусмотрен переходный период. В этот срок госкомпании смогут доработать свои продукты или перейти на коммерческое отечественное ПО. На первом этапе изменения коснутся ограниченного перечня программных классов, включая операционные системы, системы управления базами данных, средства виртуализации, антивирусы и офисные приложения.
В ведомстве уточнили, что речь идёт только о госкомпаниях. Эта инициатива не затрагивает коммерческих разработчиков.
Совместимость с двумя российскими ОС
Документ также вводит требования ко всему софту из реестра и претендующему на включение. ПО должно поддерживать работу с двумя российскими операционными системами, соответствующими дополнительным требованиям. Среди них — поддержка сертификатов безопасности НУЦ, отсутствие уязвимостей и другие. Для ПО в составе ПАК достаточно одной ОС. Нововведения касаются только десктопных систем, мобильные ОС остаются за рамками изменений.
Правила для офисного ПО и средств виртуализации вступят в силу с 1 июня 2025 года, вводя изменения поэтапно в зависимости от готовности разработчиков.
Преимущества в госзакупках
Зрелые решения из реестра по отдельным классам (ОС, СУБД, офисное ПО, антивирусы) смогут добровольно пройти проверку на дополнительные требования — поддержка российских микропроцессоров, браузеров и другие. Несоответствие этим дополнительным критериям не приведёт к исключению из реестра, но даст преимущества при госзакупках.
Ранее Минцифры опубликовало на портале regulation.gov.ru проект постановления, который устанавливает дополнительные требования к программному обеспечению, включенному в реестр отечественного ПО. В документе говорится, что разработчики обязаны обеспечить совместимость своих программных продуктов как минимум с двумя операционными системами, которые также включены в реестр. В случае если программа предназначена для программно-аппаратного комплекса (ПАК), то ей необходимо обеспечить совместимость хотя бы с одной ОС из реестра.
Проект постановления предусматривает поэтапное введение новых требований. С 1 июня 2025 года они начнут действовать для офисного программного обеспечения и средств виртуализации. С 1 января 2026 года новые правила будут распространяться на программное обеспечение для обслуживания, решения для облачных вычислений и системы хранения данных. К 1 января 2027 года требования коснутся промышленного программного обеспечения и продуктов для управления процессами в организациях.
Кроме того, Минцифры планирует утвердить порядок проведения проверок на соответствие требованиям о совместимости с операционными системами для программного обеспечения, уже внесенного в реестр. Конкретные сроки проведения этих проверок будут определяться после обсуждения с разработчиками.
С 1 января 2025 года ограничения затронут государственные компании, которые намерены внести в реестр программное обеспечение, разработанное для внутреннего использования. Теперь они смогут включать в него только те продукты, которые не имеют аналогов в уже существующем перечне.
Минцифры также вводит дополнительные критерии, соблюдение которых предоставит разработчикам преимущества при участии в государственных закупках. Среди них подтверждённая совместимость с процессорами из реестра Минпромторга, поддержка российских браузеров и отсутствие ограничений на использование средств разработки (SDK).
🔔 ITsec NEWS
⚡️Миллионы на ставках: дети в ловушке Roblox-казино
💬 Незаконные онлайн-казино используют популярную видеоигру Roblox для вовлечения детей в азартные игры, что подтверждено расследованием Sky News. Платформы предоставляют доступ к слотам и блэкджеку, позволяя использовать внутриигровую валюту Robux для ставок. Выигрыши можно выводить в криптовалюте, которая затем конвертируется в реальные деньги.
Roblox, имеющий около 80 миллионов активных пользователей ежедневно, особенно популярен среди детей, из которых 42% младше 12 лет. Некоторые из казино, включая BloxFlip, Bloxmoon и RBLXWild, ежемесячно привлекают до 2,8 миллиона посетителей и обрабатывают миллионы фунтов в ставках. Доступ к казино остаётся практически неограниченным. Пользователи могут создавать аккаунты, подтверждая возраст только отметкой, без реальной проверки.
Шестнадцатилетний подросток Роберт, начавший играть на таких сайтах в возрасте 14 лет, рассказал, что потратил около 15 миллионов Robux, эквивалентных 150 тысячам фунтов. Он отметил, что увлечение азартными играми привлекло его адреналином и перспективой заработать дополнительные деньги.
По словам Роберта, сотрудники казино знали о несовершеннолетних пользователях, но игнорировали этот факт. Подросток, несмотря на прекращение участия в азартных играх, признаёт, что увлечение оставило свой след.
В чатах платформ Discord обсуждались возраста игроков, и модераторы признавали, что многие пользователи младше 18 лет. Некоторые игроки, делавшие ставки на миллионы Robux, получали символические статусы «Кит» и «Платиновый кит», несмотря на их открытые заявления о возрасте.
Механизм работы таких казино прост: после регистрации через Roblox-аккаунт пользователи получают возможность переводить Robux в виртуальные фишки для ставок. Фишки затем можно обменять обратно на Robux или конвертировать в криптовалюту. Sky News получила данные, свидетельствующие о том, что пользователи сайта Bloxmoon с момента запуска в конце 2022 года потеряли более 11,4 миллиона долларов.
После публикации результатов расследования Комиссия по азартным играм начала экстренное разбирательство и заблокировала доступ к указанным сайтам в Великобритании. Но казино Bloxmoon и RBLXWild быстро возобновили работу под новыми адресами. Представители Roblox заявили, что подобные казино не имеют никакого отношения к компании и нарушают правила использования платформы. Roblox активно сотрудничает с правоохранительными органами для преследования владельцев сайтов.
Родители пятерых детей подали коллективный иск против Roblox, обвиняя компанию в бездействии. Судебное разбирательство началось в сентябре 2024 года. Согласно материалам дела, Roblox была осведомлена о существовании таких казино с 2022 года, но только в октябре 2024 года инициировала юридические действия против них, обвиняя в нарушении авторских прав и условий использования платформы.
Эксперты подчёркивают, что отсутствие регуляции делает такие платформы особенно опасными для детей, подвергая их финансовым и психологическим рискам. Например, один из друзей Роберта угрожал покончить с собой после проигрыша 20 тысяч Robux на ставках. Кроме того, благотворительная организация YGAM отмечает, что раннее вовлечение в азартные игры увеличивает риск развития зависимости в будущем.
Незаконные казино продолжают работать, пользуясь пробелами в законодательстве. Эксперты призывают усилить полномочия регулирующих органов, чтобы отслеживать и привлекать к ответственности владельцев таких платформ.
🔔 ITsec NEWS
⚡️Эмодзи-код: снежинки и сердечки стали языком преступников
💬 Торговля запрещёнными веществами адаптировалась к современным технологиям, используя социальные сети и мессенджеры. Для обозначения веществ применяются эмодзи: снежинки, сердечки, виноград и другие. Такие способы коммуникации помогают скрывать незаконную деятельность.
Платформы Instagram*, Snapchat, X**, Telegram и WhatsApp всё чаще используются для сделок. Европейское агентство по наркотикам в своём докладе указало на рост активности в этой сфере. По данным исследований, начатых в 2012 году, в 2021 году в Ирландии до 20% таких сделок совершались через соцсети.
Качество товаров, приобретённых онлайн, может контролироваться через отзывы пользователей, однако риски сохраняются. Ассортимент на платформах часто шире, а цены ниже, чем при традиционных сделках. Тем не менее, нет достоверных данных о безопасности таких продуктов. ООН отмечает рост использования соцсетей для розничных сделок, несмотря на преобладание уличной торговли.
В то же время соцсети предоставляют доступ к таким материалам для уязвимых групп. Управление по борьбе с наркотиками США предупреждает, что платформа позволяет крупным криминальным группировкам напрямую связываться с потребителями, что создаёт дополнительные трудности для пресечения незаконной деятельности.
Компании, владеющие социальными сетями, предпринимают меры для борьбы с нарушениями. В 2023 году Instagram и Facebook* удалили свыше 9 миллионов публикаций, связанных с этой темой, а Snapchat – более 240 тысяч. Однако алгоритмы иногда блокируют страницы организаций, занимающихся профилактикой и снижением вреда от запрещенных веществ.
Исследования показывают, что 60% подростков сталкивались с контентом, связанным с запрещёнными веществами, а 10% заявили о покупках через соцсети. Алгоритмы выявления таких публикаций постоянно совершенствуются, но полностью искоренить проблему пока не удаётся.
Telegram усилил политику в этой области, внедрив правила передачи данных по запросу правоохранительных органов. Обновление политики конфиденциальности повлияло на репутацию платформы как сервиса для анонимного общения – новость встревожила сообщество киберпреступников и заставила их думать над переходом на другие площадки.
* Компания Meta и её продукты признаны экстремистскими, их деятельность запрещена на территории РФ.
** Социальная сеть запрещена на территории Российской Федерации.
🔔 ITsec NEWS
⚡️Манипуляция сознанием через TikTok? Еврокомиссия проверяет риски
💬 Европейская комиссия начала расследование в отношении TikTok по подозрению в нарушении Закона о цифровых услугах (DSA). Поводом послужили сомнения в том, что платформа должным образом оценивает и устраняет системные риски, связанные с защитой целостности выборов, особенно в контексте недавних президентских выборов в Румынии, состоявшихся 24 ноября.
Расследование инициировано на основании подозрений о вмешательстве иностранных сил в выборы через платформу TikTok. Вопрос касается соблюдения требований DSA, которые обязывают платформы предпринимать меры по предотвращению подобных угроз.
Основное внимание в расследовании будет уделено двум аспектам:
работе рекомендательных систем TikTok, включая риски, связанные с координированными манипуляциями и автоматизированной эксплуатацией сервиса;
политической рекламе и оплачиваемому политическому контенту на платформе.
В рамках расследования будет выясняться, предпринимал ли TikTok достаточные меры для устранения рисков, связанных с региональными и языковыми особенностями национальных выборов. Сроки завершения расследования законом не регламентированы. Продолжительность зависит от сложности дела, уровня сотрудничества компании и использования права на защиту.
Решение о начале расследования было принято на основании данных из рассекреченных разведывательных материалов румынских властей, а также отчётов третьих сторон. Важную роль также сыграли результаты анализа оценочных отчётов рисков, представленных TikTok в 2023 и 2024 годах, ответы компании на запросы комиссии и предоставленные внутренние документы.
Комиссия продолжит собирать доказательства, включая дополнительные запросы информации, интервью, мониторинг и проверки. Также будут исследованы алгоритмы платформы. TikTok обязан предоставить данные и документы в рамках приказа о сохранении информации, выданного комиссией 5 декабря.
5 декабря 2024 года TikTok получил предписание заморозить и сохранить данные, связанные с рисками, которые сервис может представлять для выборов и общественного дискурса в ЕС. Это требование распространяется на национальные выборы, проходящие в Европейском союзе с 24 ноября 2024 года по 31 марта 2025 года.
К расследованию подключён ирландский регулятор Coimisiún na Meán, который выступает координатором цифровых услуг для Ирландии. Страна является местом официальной регистрации TikTok в ЕС, что делает её ключевым участником анализа.
🔔 ITsec NEWS
⚡️Meta оштрафована дважды: новые скандалы подрывают доверие пользователей
💬 Компания Meta * на этой неделе была дважды оштрафована за нарушение правил защиты данных. Ирландской комиссией по защите данных (DPC) и Австралийским информационным комиссариатом. Общая сумма штрафов и компенсаций составила внушительные суммы, а кейсы получили международное внимание.
Ирландская DPC завершила расследование по утечке данных, затронувшей 29 миллионов аккаунтов Facebook в 2018 году. Нарушение возникло из-за уязвимости в функции «Посмотреть как» , что позволило злоумышленникам получать доступ к личным данным пользователей. Среди утечки оказались имена, адреса электронной почты, телефоны, религиозные и политические убеждения. Meta была оштрафована на €251 миллион за недостатки в защите данных, включая нарушения статей 25 и 33 GDPR.
Вторая ситуация касается утечки данных австралийских пользователей, связанной с Cambridge Analytica. В результате конфиденциальная информация была передана стороннему приложению и использовалась для политического профилирования. Австралийский информационный комиссариат и Meta заключили соглашение на сумму $50 миллионов, которая будет направлена на компенсации пользователям. Программа выплат стартует во втором квартале 2025 года и будет администрироваться независимой стороной.
Столь крупные штрафы иллюстрируют важность защиты личных данных в глобальных корпорациях. Заместитель комиссара DPC подчеркнул, что отсутствие интеграции норм защиты данных в разработке систем создало серьёзные риски для пользователей. Австралийский комиссар отметила, что такие случаи усиливают контроль за соблюдением законов о конфиденциальности и подтверждают важность прозрачности.
Оба инцидента стали примерами недостаточного внимания к безопасности данных в технологических гигантах. Это подчёркивает необходимость строгих мер со стороны регулирующих органов, особенно в свете возрастающих рисков утечек и злоупотреблений личной информацией.
Meta, в свою очередь, обязалась предпринять все возможные меры для предотвращения повторения подобных инцидентов. Несмотря на это, скандалы с утечками продолжают ставить под вопрос репутацию компании и её подход к защите конфиденциальности пользователей.
* Компания Meta и её продукты признаны экстремистскими, их деятельность запрещена на территории РФ.
🔔 ITsec NEWS
⚡️Apple vs Камала Харрис: кто охотится за смартфонами команды вице-президента
💬 В конце октября, за неделю до президентских выборов, команда по кибербезопасности Камалы Харрис обратилась в Apple за помощью. Инструмент обнаружения шпионского ПО выявил аномалии на двух iPhone, принадлежащих старшим сотрудникам команды вице-президента. Возникли опасения, что устройства могли быть взломаны.
Команда запросила у Apple копию операционной системы одного из телефонов для проведения более глубокого анализа. Несмотря на согласие владельца устройства, компания отказалась предоставить запрашиваемую информацию. Apple предложила доступ к резервным копиям iCloud и некоторым телеметрическим данным, но они не представляли интереса для расследования. Изучение инцидента продолжается с участием компании iVerify, разработчика инструмента, который впервые обнаружил проблемы. Комментариев от Apple, команды Харрис или ФБР не поступило.
Отказ Apple от содействия в расследовании не является неожиданностью. Компания известна своей позицией, что конфиденциальность данных является основным правом человека. В 2016 году компания отказалась помочь ФБР получить доступ к данным iPhone террориста из Сан-Бернардино, что вызвало масштабное юридическое противостояние. В итоге правительство наняло стороннего подрядчика для взлома устройства.
Представитель iVerify раскритиковал подход Apple к расследованиям взломов iPhone. Он считает, что ограничение доступа к низкоуровневым данным iOS, направленное на защиту от вредоносного ПО, мешает выявлять хакеров, преодолевающих защиту. Утверждается, что текущая политика компании не позволяет эффективно защищать пользователей.
iVerify также обратила внимание на уведомление Apple о кибератаках, которые не содержат деталей о способах, времени или причинах атаки. Вместо этого пользователям предлагается обратиться в некоммерческие организации за дополнительной поддержкой. В iVerify называют такую помощь недостаточной и подчеркивает необходимость большего участия компании в защите устройств.
Технически Apple могла бы открыть доступ к определённым API iOS, что позволило бы исследователям обнаруживать вредоносное ПО. Однако существуют разногласия о целесообразности такого шага. У компании есть обоснования для ограничений, поскольку более открытая архитектура может быть использована самими разработчиками шпионских программ.
Недавно стало известно, что инструмент для разблокировки телефонов и проведения цифровой экспертизы GrayKey больше не способен извлекать полные данные с iPhone, работающих на iOS 18 и iOS 18.0.1. Об этом стало известно благодаря утечке внутренних документов компании Magnet Forensics, которая владеет GrayKey.
Стоит отметить, что аналогичные утечки ранее происходили у конкурента Magnet — компании Cellebrite. Документы указывали на невозможность Cellebrite извлекать данные со многих современных iPhone. Однако со временем компании удается находить новые уязвимости, что подтверждает продолжающееся противостояние между разработчиками инструментов форензики и производителями смартфонов.
🔔 ITsec NEWS
⚡️Смартфоны смогут видеть радиацию? Мини-датчик бросает вызов счетчикам Гейгера
💬Китайская государственная ядерная корпорация CNNC создала микрочип , который измеряет радиационное излучение. Компания уже начала массово производить его на сертифицированных предприятиях-партнерах. Для китайской полупроводниковой отрасли это важнейший шаг вперед, особенно на фоне американских санкций.
Новый датчик умещается в габариты 15×15×3 миллиметра, но при этом определяет дозы радиации в диапазоне от 100 наносивертов до 10 миллисивертов в час. Такой широкий охват позволяет применять устройство как для замеров естественного радиационного фона (60-200 наносивертов в час), так и для наблюдений в промышленных условиях.
Разработчики добились исключительной энергоэффективности - чип потребляет всего 1 милливатт энергии. При этом его чувствительность не уступает традиционным счетчикам Гейгера-Мюллера, которые повсеместно используют для оценки радиационного фона.
Микросхема распознает энергии излучения от 50 килоэлектронвольт до 2 мегаэлектронвольт, фиксируя как рентгеновские, так и гамма-лучи. Благодаря этому она пригодится в медицине, атомной энергетике и экологическом мониторинге.
На официальной странице CNNC в WeChat сообщается, что устройство легко приспосабливается к разным условиям работы. Его можно применять на ядерных объектах, для индивидуального дозиметрического контроля и при экологических проверках безопасности. Корпорация предлагает встраивать чип в бытовую электронику - смартфоны и беспилотные летательные аппараты.
При создании микросхемы инженеры прошли весь цикл полупроводникового производства: спроектировали чип, изготовили опытные образцы, поместили их в корпус и протестировали. Серийный выпуск доверили "авторизованным фабрикам", хотя названия производственных партнеров пока держат в секрете.
🔔 ITsec NEWS
⚡️Кибершпионаж 2.0: скрытые потоки NTFS вскрывают оборонный сектор Турции
💬Группировка кибершпионажа Bitter, предположительно связанная с Южной Азией, в ноябре 2024 года атаковала организацию оборонного сектора Турции, используя две вредоносные программы WmRAT и MiyaRAT на базе C++.
Исследователи компании Proofpoint сообщили, что атака началась с архива RAR, в котором использовались альтернативные потоки данных. Архив содержал LNK-файл, создающий задачу в планировщике для скачивания дальнейших полезных нагрузок.
Bitter, отслеживаемая также как TA397, действует с 2013 года. Ранее её активности фиксировались в Китае, Пакистане, Индии, Саудовской Аравии и Бангладеш. Основными инструментами группировки были BitterRAT, ArtraDownloader и ZxxZ, что подтверждает явный фокус на азиатский регион.
В ходе последней атаки злоумышленники использовали приманку в виде информации о проектах инфраструктуры на Мадагаскаре. В архиве находился фальшивый PDF-файл и скрытый поток данных с PowerShell-кодом.
Альтернативные потоки данных в файловой системе NTFS позволяют злоумышленникам внедрять скрытые данные в файлы без изменения их размера или внешнего вида. В данном случае один поток скачивал документ-приманку с сайта Всемирного банка, а второй содержал PowerShell-скрипт для запуска планировщика задач.
Основные вредоносные программы — WmRAT и MiyaRAT — наделены стандартными возможностями троянов удалённого доступа: сбор информации о системе, загрузка и выгрузка файлов, создание снимков экрана, получение геоданных и выполнение произвольных команд через cmd.exe или PowerShell.
Эксперты отмечают, что MiyaRAT используется для особо важных целей, поскольку его применяют в ограниченном числе атак. По оценке Proofpoint, действия Bitter направлены на сбор разведывательных данных в интересах южноазиатских правительств.
🔔 ITsec NEWS
⚡️Что такое «деструктивный контент»? В России разрабатывают глоссарий
💬
Министерство юстиции инициировало создание консорциума вузов для разработки глоссария понятий, связанных с традиционными ценностями. Об этом в видеоинтервью «Парламентской газете» сообщила заместитель председателя Госдумы Анна Кузнецова. Согласно определениям, содержащимся в глоссарии, депутаты планируют подготовить законопроект о запрете деструктивной информации.
Как пояснили в пресс-службе Минюста изданию «Ведомости», работа над глоссарием ведется на базе Санкт-Петербургского государственного университета (СПбГУ).
О намерении властей закрепить понятие «деструктивный контент» в законодательстве стало известно в октябре текущего года. Целью инициативы является «ограждение детей от подобной информации», объясняла тогда Кузнецова. Заместитель председателя комитета по просвещению Яна Лантратова отмечала, что в интернете присутствует «огромное количество деструктивной идеологии». Она привела примеры, такие как криминальные субкультуры, «группы смерти», чайлдфри, вовлечение несовершеннолетних в алкоголизм, наркоманию и квадроберство.
Анна Кузнецова уточнила, что законопроект, ограждающий граждан от деструктивного контента, разрабатывается в продолжение указа президента России Владимира Путина № 809 «Об утверждении основ госполитики по сохранению и укреплению традиционных российских духовно-нравственных ценностей». По ее словам, разработка требует времени, поскольку существующих формулировок недостаточно для определения понятия деструктивный контент.
Кузнецова также отметила, что научная база для разработки глоссария создана в Московском государственном юридическом университете (МГЮА). После завершения формулировки понятий они будут вынесены на обсуждение с экспертным сообществом.
Зампред Госдумы подчеркнула, что законодатели отслеживают появление новых видов деструктивной информации, которая, в частности, «призывает» детей к совершению преступлений против человека. Она также предложила впоследствии создать институт для изучения традиционных духовно-нравственных ценностей. По ее словам, такое учреждение «помогало бы законодательству вырабатывать решения, проводило бы соответствующие исследования» для большего понимания основ госполитики.
Юристы отмечают, что определение «традиционные ценности» в президентском указе остается достаточно размытым и вызывает различные ассоциации в обществе. Из названия указа следует, что он регламентирует только основы, т. е. некие исходные положения.
Отдельной проблемой остается отсутствие юридического определения «деструктивной информации». Общий подход законодателя к оценке вредоносности информации обычно основан на том, что необходимо проводить экспертизу и объективно, с использованием исследовательской методологии, оценивать спорные сведения, чтобы делать выводы об их законности, поясняют юристы. Введение же каких-либо заранее предопределенных критериев вредоносности может негативно сказаться на будущей практике привлечения к ответственности и сделать такую практику необоснованно репрессивной.
🔔 ITsec NEWS
⚡️Фальшивые CAPTCHA, реальные кражи: новая схема кибермошенников раскрыта
💬 Эксперты по кибербезопасности из Guardio Labs сообщили о новой мошеннической кампании DeceptionAds, основанной на рекламных сетях для распространения вредоносного ПО. Атака затронула более миллиона пользователей за последние десять дней, перенаправляя их на фальшивые страницы с CAPTCHA.
Вредоносная кампания опирается на единую рекламную сеть Monetag и привлекает трафик через более чем 3000 сайтов с пиратским и кликбейтным контентом. Пользователям предлагается в полуавтоматическом режиме выполнить команду, закодированную в Base64, что приводит к загрузке программ-воров, таких как Lumma.
В последние месяцы подобные атаки приобрели масштабный характер: сразу несколько хакерских группировок используют этот метод для распространения троянов удалённого доступа и постэксплуатационных инструментов. Для сокрытия вредоносных действий атакующие задействовали сервис BeMob.
Схема атаки выглядит следующим образом: злоумышленники регистрируются в Monetag, после чего трафик перенаправляется через систему распределения трафика (TDS) на страницы с CAPTCHA. Поддельные страницы размещаются на платформах Oracle Cloud, Cloudflare R2 и других.
Эксперты Guardio Labs заявили, что Monetag удалил более 200 аккаунтов, связанных с кампанией, после сообщений о нарушении. BeMob также отключил учётные записи, используемые для маскировки ссылок. Однако, несмотря на все меры, признаки активности кампании были вновь зафиксированы 5 декабря.
Исследование подчёркивает, что рекламные сети, используемые для легальных целей, могут стать инструментом для атак. Проблема усугубляется размытым распределением ответственности между рекламными платформами, владельцами сайтов и хостинг-провайдерами.
Подобные инциденты подтверждают необходимость усиленного контроля и модерации рекламного контента.
🔔 ITsec NEWS
⚡️Обновление года: Kali Linux 2024.4 с Python 3.12 и новыми инструментами
💬 Kali Linux выпустила версию 2024.4, ставшую заключительным обновлением года. Новый релиз включает 14 новых инструментов, улучшенную поддержку Raspberry Pi, переход на Python 3.12 по умолчанию и прекращение выпуска образов для архитектуры i386.
14 новых инструментов. Релиз Kali Linux 2024.4 традиционно пополнился новыми инструментами для специалистов в области кибербезопасности. Среди них:
bloodyad – фреймворк для повышения привилегий в Active Directory;
certi – запрос сертификатов к ADCS и обнаружение шаблонов;
chainsaw – поиск по артефактам Windows для цифровой криминалистики;
findomain – решение для распознавания доменов;
hexwalk – анализатор и редактор Hex;
linkedin2username – генерация списков имён пользователей для компаний LinkedIn;
mssqlpwner – инструмент для взаимодействия и взлома MSSQL-серверов;
openssh-ssh1 – клиент SSH для устаревшего протокола SSH1;
proximoth – детектор уязвимостей control frame атак;
python-pipx – выполнение бинарников Python в изолированных окружениях;
sara – инспектор безопасности RouterOS;
web-cache-vulnerability-scanner – тестировщик отравления веб-кэша;
xsrfprobe – инструментарий для анализа и эксплуатации CSRF-уязвимостей;
zenmap – интерфейс для сетевого сканера nmap.
Прекращение поддержки i386. С новой версией Kali Linux прекращено создание образов для архитектуры i386. Решение принято в связи с отказом Debian от поддержки 32-битных сборок в октябре 2024 года. Несмотря на это, пакеты i386 по-прежнему остаются доступными в репозитории и могут запускаться на системах с архитектурой x86-64.
Переход на Python 3.12 и изменения для pip. Python 3.12 стал новым интерпретатором по умолчанию. Установка пакетов с помощью pip напрямую теперь запрещена для предотвращения конфликтов с системным менеджером пакетов apt. Взамен Kali предлагает использовать команду pipx, позволяющую изолировать сторонние пакеты.
Обновления OpenSSH и Raspberry Pi. Версия OpenSSH 9.8p1 в Kali Linux 2024.4 больше не поддерживает DSA-ключи. Для старых систем с этим типом ключей доступен клиент SSH1, замороженный на версии 7.5. Однако инструменты, которые не распознают ssh1, могут потерять совместимость с устаревшими системами.
Улучшена поддержка Raspberry Pi Imager, позволяющего заранее настроить образ Kali для Raspberry Pi. Теперь можно задать имя хоста, параметры входа, ключи SSH, конфигурацию Wi-Fi и локальные настройки перед записью образа на microSD-карту.
Изменения на рабочем столе. Обновлённое окружение GNOME 47 принесло поддержку изменения акцентного цвета интерфейса. Также добавлены новая панель мониторинга системы и тема входа в систему.
Как обновиться до Kali Linux 2024.4.
Чтобы начать использовать Kali Linux 2024.4, можно обновить существующую версию, выбрать платформу или напрямую загрузить образы ISO для новых установок и живых дистрибутивов.
Пользователи предыдущих версий могут выполнить обновление с помощью следующих команд:
echo "deb http://http.kali.org/kali kali-rolling main contrib non-free non-free-firmware" | sudo tee /etc/apt/sources.list
sudo apt update && sudo apt -y full-upgrade
cp -vrbi /etc/skel/. ~/
[ -f /var/run/reboot-required ] && sudo reboot -f
После завершения процесса можно проверить версию Kali Linux командой:
grep VERSION /etc/os-release
Полный список изменений доступен на официальном сайте Kali.
🔔 ITsec NEWS
⚡️Solana-мошенничество: как фейковый токен ANITA украл миллионы у фанатов рэпера Дрейка
💬 Аккаунт канадского рэпера Дрейка в соцсети X* был взломан на выходных и использован для продвижения мошеннического токена, в результате чего его подписчики потеряли миллионы долларов
Токен под названием ANITA был запущен в сети Solana. Его название отсылает к мультяшному альтер-эго Дрейка — Anita Max Wynn, что созвучно с фразой «I need a max win» («Мне нужен максимальный выигрыш»), намекая на известную любовь музыканта к азартным играм. Публикации о токене привлекли внимание 39 миллионов подписчиков Дрейка. За короткое время, пока мошеннические сообщения оставались в аккаунте, объём торгов превысил 5 миллионов долларов США. Впоследствии пользователи разобрались, что токен — мошенничество, и прекратили покупки.
Аккаунт токена ANITA в соцсети X* был заблокирован, а подозрительные публикации удалены со страницы Дрейка. Однако ущерб инвесторам уже был нанесён.
Мошенники воспользовались известностью Дрейка и его репутацией азартного игрока, чтобы сделать схему более убедительной. В своих постах они заявляли, что токен связан с платформой Stake — легальным партнёром музыканта. Эта информация могла запутать подписчиков, поскольку закреплённая публикация на странице рэпера действительно продвигает Stake.
Дополнительное доверие вызвал факт предстоящего тура Дрейка под названием «Anita Max Wynn» по Австралии и Новой Зеландии в следующем году. Некоторые подписчики могли решить, что токен связан с этим событием.
Аналитики отмечают рост количества взломов аккаунтов знаменитостей для продвижения мошеннических криптовалют. В последние месяцы подобные схемы затронули аккаунты таких известных личностей, как Карди Би, Доджа Кэт, Metallica и других.
Ранее расследование криптоэксперта ZachXBT выявило связь ряда подобных атак с бывшим австралийским киберспортсменом по прозвищу Serpent. Среди пострадавших от взломов оказались аккаунты Ашера, Уиза Халифы и актёра Дина Норриса.
Ажиотаж на крипторынке, наблюдаемый в последнее время, создаёт идеальные условия для активизации мошенников. Они используют неопытность новых инвесторов, подталкивая к необдуманным решениям.
* Социальная сеть запрещена на территории Российской Федерации.
🔔 ITsec NEWS
⚡️Эксплойт в сети: ошибка в ядре Windows требует реакции до 6 января
💬 CISA предупредило федеральные агентства о необходимости защиты систем от текущих атак, направленных на уязвимость ядра Windows.
Ошибка отслеживается как CVE-2024-35250 (оценка CVSS: 7.8) и связана с некорректным разыменованием указателя (Untrusted Pointer Dereference). Позволяет локальным злоумышленникам получать права SYSTEM при простых атаках, не требующих взаимодействия с пользователем. Исследователи DEVCORE, обнаружившие и передавшие проблему в Microsoft, сообщают, что уязвимый компонент системы — Microsoft Kernel Streaming Service (MSKSSRV.SYS).
На конкурсе Pwn2Own Vancouver 2024 команда DEVCORE использовала уязвимость для повышения привилегий и компрометации полностью обновлённой системы Windows 11. Microsoft устранила уязвимость во время июньского обновления Patch Tuesday 2024. Через 4 месяца на GitHub появился рабочий код эксплойта.
Кроме того, CISA также добавила в каталог Known Exploited Vulnerabilities (KEV) критическую уязвимость Adobe ColdFusion, отслеживаемую как CVE-2024-20767 (оценка CVSS: 7.4). Проблема, устранённая Adobe в марте, возникает из-за недостаточного контроля доступа и позволяет удалённым неаутентифицированным злоумышленникам считывать системные и конфиденциальные файлы.
По данным SecureLayer7, успешная эксплуатация серверов ColdFusion с открытой панелью администратора позволяет обойти меры безопасности и выполнять произвольные записи в файловой системе. Поисковая система Fofa показывает, что в сети доступны более 145 000 серверов ColdFusion, однако точное количество с открытыми админ-панелями установить невозможно.
Обе уязвимости добавлены в каталог KEV с пометкой об активной эксплуатации. Согласно директиве BOD 22-01, федеральные агентства обязаны защитить свои сети в течение трёх недель — до 6 января. В CISA подчеркнули, что подобные уязвимости являются частыми векторами атак и представляют серьёзный риск для федеральной инфраструктуры. Несмотря на то, что каталог KEV предназначен для госучреждений, частным компаниям также рекомендуется незамедлительно устранить уязвимости для защиты от текущих атак.
🔔 ITsec NEWS
⚡️Невидимки на дорогах: хакер взломал систему цифровых автономеров
💬 Исследователь безопасности выявил уязвимость цифровых номерных знаков, которые всё чаще используются в США. По его словам, взлом таких устройств позволяет изменять номера на экране, что может привести к уклонению от штрафов или подставе других водителей.
Хосеп Родригес из компании IOActive обнаружил метод взлома цифровых номеров компании Reviver, которые являются одним из лидеров рынка с 65 тысячами проданных экземпляров. Взлом происходит путём перепрошивки устройства через внутренние разъёмы. Процесс занимает всего несколько минут и позволяет с помощью приложения по Bluetooth изменять отображаемый номер.
Эксперт утверждает, что уязвимость создаёт риск для систем, полагающихся на распознавание номерных знаков. Водители могут избегать штрафов за превышение скорости и неоплаченные парковки, а также уклоняться от платы за проезд по платным дорогам. Более того, нарушители способны подставить других водителей, установив на своём номере их регистрационные данные.
Родригес подчеркнул, что проблему нельзя устранить программным обновлением, так как она кроется в аппаратной части устройства. Решение потребует замены чипов во всех проданных экземплярах. По его мнению, уязвимость носит системный характер и должна быть учтена регуляторами и правоохранительными органами.
Reviver заявила, что взлом цифровых номеров для уклонения от штрафов и полицейского контроля является уголовным преступлением. По словам компании, такая процедура требует физического доступа к автомобилю, специальных инструментов и опыта, что маловероятно в реальных условиях. Также Reviver работает над новой версией устройств, в которых используются более защищённые чипы.
Однако Родригес утверждает, что процедура взлома не требует особых знаний или инструментов. После первичного анализа он разработал методику, которую можно использовать за несколько минут, подключив кабель к номерному знаку. По его словам, метод схож с джейлбрейком смартфонов.
Эксперт также отметил, что взлом может быть выполнен не только владельцем номера, но и третьими лицами. Например, механик или парковщик может незаметно перепрошить устройство, чтобы отслеживать перемещения автомобиля или изменять его номер удалённо.
Несмотря на дополнительные меры безопасности, такие как уведомления о снятии номера с автомобиля, Родригес считает, что атакующие могут обойти их с помощью помех радиосигналу. Хотя реализация этого сценария менее вероятна, он не исключает его полностью.
Цифровые номерные знаки пока разрешены к использованию в Калифорнии и Аризоне, а другие штаты рассматривают возможность их легализации. Специалисты предупреждают, что распространение таких устройств может привести к злоупотреблениям, если производители и регуляторы не предпримут должные меры для их защиты.
🔔 ITsec NEWS
⚡️MovieNet опережает человека и Google: точность анализа выше на 18%
💬Учёные создали искусственный интеллект, способный анализировать видео подобно человеческому мозгу. Новая модель MovieNet, разработанная специалистами научного института Scripps Research, демонстрирует высокую точность в распознавании сложных движущихся сцен.
В отличие от традиционных моделей искусственного интеллекта, которые специализируются на анализе статичных изображений, MovieNet способен распознавать и интерпретировать комплексные изменения во времени. Результаты исследования опубликованы в журнале Proceedings of the National Academy of Sciences .
При создании MovieNet учёные опирались на исследования головного мозга головастиков. Специалисты изучили, как нейроны в зрительной области мозга этих существ собирают фрагменты визуальной информации в целостные последовательности за промежутки времени от 100 до 600 миллисекунд.
В ходе тестирования MovieNet продемонстрировал точность 82,3% при различении нормального и аномального поведения головастиков во время плавания. Это на 18% превысило результаты наблюдений человека и на 10% — показатели ведущей модели искусственного интеллекта GoogLeNet от компании Google.
Важным преимуществом MovieNet является энергоэффективность. За счёт упрощения данных до основных последовательностей модель требует значительно меньше вычислительных ресурсов по сравнению с традиционными системами искусственного интеллекта, сохраняя при этом высокую производительность.
Технология открывает новые возможности в медицине. MovieNet может помочь в ранней диагностике нейродегенеративных заболеваний, выявляя незаметные для человеческого глаза изменения в двигательной активности пациентов. Кроме того, система способна отслеживать реакции клеток на лекарственные препараты в процессе разработки новых медикаментов.
Потенциал применения MovieNet включает также системы автономного вождения, где искусственный интеллект сможет улучшить безопасность благодаря более точному распознаванию изменений дорожной обстановки и поведения пешеходов.
Разработчики планируют расширить возможности MovieNet для работы с более сложными сценариями и применения в других областях, включая экологический мониторинг и наблюдение за дикой природой.
🔔 ITsec NEWS
⚡️Роскомнадзор начнёт получать данные о попытках обхода блокировок
💬 Операторы, имеющие лицензию на оказание услуг связи, будут обязаны предоставлять Роскомнадзору (РКН) данные, позволяющие идентифицировать средства связи и пользовательское оборудование в интернете. Мера направлена на предотвращение доступа к информации, распространение которой ограничено на территории России, а также на защиту граждан от возможного вреда, пишут «Ведомости», ссылаясь на документы, опубликованные ведомством.
РКН сможет получать данные об интернет-пользователях, которые посещают заблокированные на территории России сайты, уточняет издание. В пояснительной записке указано, что приказ разработан с целью исполнения мер в соответствии с законом от 8 августа 2024 г. №216, который, в свою очередь, вносит изменения в закон «Об информации, информационных технологиях и о защите информации» и отдельные законодательные акты РФ». Поправки касаются запрета на распространение материалов, оскорбляющих человеческое достоинство и общественную нравственность, демонстрирующих действия с признаками противоправных, в том числе насильственных, мотивированных хулиганскими или корыстными побуждениями.
Начать получать информацию от операторов связи РКН должен в течение трех месяцев со дня вступления приказа в силу. Для выполнения новых требований планируется использовать технические средства противодействия угрозам (ТСПУ), которые обязательны для операторов с 2019 года.
В документе уточняется, что операторы связи обязаны предоставить информацию, идентифицирующую средства связи и пользовательское оборудование, в течение 15 рабочих дней с даты начала оказания услуг по предоставлению доступа к интернету или с момента присоединения к их сети другого оператора связи, уже предоставляющего услуги по предоставлению доступа к интернету.
🔔 ITsec NEWS
⚡️Эксплойты в сети: Apache Struts открывает доступ к сетям госструктур
💬 Критическая уязвимость в Apache Struts 2 активно используется злоумышленниками с применением публичных эксплойтов для поиска уязвимых устройств.
Apache Struts представляет собой фреймворк с открытым исходным кодом для создания веб-приложений на Java. Struts применяют различные организации, включая госструктуры, платформы e-commerce, финансовые учреждения и авиакомпании.
Недавно Apache официально раскрыл информацию о CVE-2024-53677 (оценка CVSS: 9.5), которая была обнаружена в логике загрузки файлов. Проблема затрагивает версии Struts 2.0.0–2.3.37 (устаревшие), 2.5.0–2.5.33 и 6.0.0–6.3.0.2. Как отмечается в бюллетене безопасности Apache, манипуляция параметрами загрузки файлов позволяет выполнить Path Traversal, а в некоторых случаях — загрузить вредоносный файл, который может быть использован для выполнения удалённого кода (Remote Code Execution, RCE).
На практике уязвимость предоставляет возможность загружать веб-оболочки в защищённые директории. Файлы могут использоваться для выполнения команд, загрузки дополнительных вредоносных компонентов и кражи данных. Эксперты сравнивают уязвимость с CVE-2023-50164, указывая на вероятность повторного появления аналогичной проблемы из-за неполного исправления.
ISC SANS зафиксировал попытки атак, в которых используются публично доступные эксплойты. На данный момент попытки направлены на перечисление уязвимых систем. Хакеры используют эксплойты для загрузки файла «exploit.jsp», содержащего единственную строку кода, которая выводит текст «Apache Struts». Затем атакующие проверяют доступ к скрипту, чтобы убедиться в успешной атаке. Эксплуатация на данный момент зафиксирована только с одного IP-адреса: 169.150.226.162.
Для защиты Apache рекомендует обновиться до версии Struts 6.4.0 или выше и перейти на новый механизм загрузки файлов. Применение только лишь исправления недостаточно: код, связанный с загрузкой файлов, требует переработки для использования нового механизма. В Apache предупреждают, что старая система загрузки файлов сохраняет уязвимость. Организациям, использующим Struts, необходимо адаптировать действия и связанные с ними перехватчики, чтобы минимизировать риск.
Активная эксплуатация уязвимости привлекла внимание национальных агентств по кибербезопасности в Канаде, Австралии и Бельгии. Страны выпустили предупреждения с призывом к разработчикам ПО принять незамедлительные меры.
🔔 ITsec NEWS
⚡️SS7: звонки и сообщения американцев превратились в оружие разведки
💬 Министерство внутренней безопасности США (DHS) назвало страны, которые активно используют уязвимости в телекоммуникационных сетях для шпионажа на территории Соединённых Штатов. По данным сенатора Рона Уайдена, в список вошли Китай, Иран и Израиль. Государства используют недостатки протокола связи SS7 для отслеживания передвижений, перехвата звонков и сообщений.
Проблемы безопасности SS7 неоднократно становились темой обсуждений. Ранее CISA заявила о множестве атак через SS7 за последние годы. Новый документ, предоставленный Министерством обороны США (DoD), добавляет конкретику в вопрос: источником атак, как полагают, стали указанные страны.
Согласно документу, в 2017 году DHS представило доклад о рисках SS7, где перечислило основные государства, использующие телекоммуникационные системы третьих стран для атаки на американских абонентов. В перечень также вошли страны из Африки, Центральной и Южной Америки, Европы и Ближнего Востока.
Технологические компании подтверждают масштаб проблемы. Сообщается, что была обнаружена вредоносная активность, связанная с SS7, исходящая из перечисленных стран. Несмотря на союз с Израилем, американская разведка ещё в 2014 году отмечала агрессивные шпионские действия страны, а также активность израильских компаний, занимающихся эксплуатацией уязвимостей SS7.
SS7, изначально созданный для маршрутизации сообщений в роуминге, используется не только правительствами, но и коммерческими структурами и преступниками. Доступ к системе позволяет отслеживать местоположение человека и перехватывать коммуникации, зная лишь номер телефона. Уязвимость также применяется для доставки вредоносного ПО на устройства.
Минимальная защита операторов вызывает обеспокоенность. DoD подтвердило, что все американские телекоммуникационные сети остаются уязвимыми для атак через SS7 и Diameter — обновлённую версию протокола. Результаты независимых аудитов сетей операторов до сих пор недоступны для изучения из-за юридических ограничений.
Критика также звучит в адрес недостаточного прогресса в устранении уязвимостей. Специалисты подчёркивают, что защита требует серьёзной работы с настройкой телекоммуникационных сетей. Несмотря на усилия некоторых стран, устранение проблемы идёт медленными темпами.
На фоне продолжающихся угроз ВМС США начали использовать защищённую сеть связи Cape в пилотных проектах. Тем не менее, угроза остаётся актуальной, так как использование SS7 требует лишь базового доступа к сетям. Операторы связи и представители заинтересованных стран отказались от комментариев. Вопрос остаётся открытым, а SS7 остаётся ключевой точкой для атак и шпионажа на глобальном уровне.
🔔 ITsec NEWS
⚡️Новые жертвы взлома Lastpass: украдено свыше $12 миллионов
💬 Хакеры похитили более 12 миллионов долларов у пользователей сервиса LastPass в результате новой атаки. По данным аналитика ZachXBT, злоумышленники получили доступ к более чем 100 криптовалютным кошелькам в период с 16 по 17 декабря.
Похищенные средства в криптовалюте Ethereum были оперативно конвертированы в Bitcoin через различные биржи моментального обмена. Преступники использовали данные, полученные во время взломов LastPass в 2022 году.
LastPass — сервис для управления паролями, также применяемый для защиты криптовалютных кошельков. В 2022 году компания пережила два взлома: в августе и октябре . В результате злоумышленники получили доступ к пользовательским ключам, токенам API, ключам многофакторной аутентификации и другой конфиденциальной информации.
В январе 2023 года против LastPass был подан коллективный иск. Пользователи обвинили компанию в неспособности защитить их данные и применении недостаточных мер безопасности.
Последствия утечки данных продолжают негативно влиять на пользователей LastPass. В апреле 2023 года был зафиксирован случай кражи криптовалюты на сумму 50 тысяч долларов, а в октябре пользователи лишились в общей сложности 4,4 миллиона долларов.
Разработчик MetaMask Тейлор Манохан призвал всех пользователей LastPass перенести свои средства на новые кошельки.
🔔 ITsec NEWS
⚡️Облако над Америкой: китайские хакеры контролируют интернет-сервисы США
💬 Министерство торговли США предпринимает новые шаги для ужесточения мер против американского подразделения China Telecom. Причина в опасениях, что доступ компании к данным через облачные и веб-сервисы может быть использован для передачи информации в Пекин.
Согласно источнику Reuters, ведомство направило предварительное заключение о том, что деятельность компании на территории США угрожает национальной безопасности, и предоставило 30 дней для ответа.
В 2021 году Федеральная комиссия по связи (FCC) запретила работу China Telecom Americas в США из-за аналогичных опасений. В 2022 году комиссия также лишила лицензии China Unicom, а в 2019 году отклонила заявку China Mobile на предоставление телекоммуникационных услуг в стране. Несмотря на ограничения, китайские компании продолжают предоставлять облачные услуги и маршрутизацию интернет-трафика, что дает им доступ к данным американских пользователей.
Вашингтон все более обеспокоен возможными кибератаками Salt Typhoon, целью которых является проникновение в телекоммуникационные компании и кража данных о звонках. Сенаторы заявляют, что атака может стать крупнейшим хакерским инцидентом в истории телекоммуникаций США. Летом администрация Байдена начала расследование деятельности China Telecom, China Mobile и China Unicom в области облачных и веб-сервисов.
На фоне событий FCC выдвинула предложение об усилении безопасности маршрутизации интернет-трафика. Центральной темой стал протокол Border Gateway Protocol (BGP), через уязвимости которого, как утверждается, China Telecom уже шесть раз перенаправляла американский интернет-трафик. В FCC отметили, что, несмотря на запреты, китайские компании могут продолжать предоставлять услуги дата-центров американским пользователям, и призвали к дополнительным мерам для устранения угроз безопасности.
🔔 ITsec NEWS
⚡️Компьютер, который пел о любви: как жуткая колыбельная IBM стала гимном новой эры
💬В начале 1960-х годов ученые из Bell Labs провели необычный эксперимент. С помощью самого мощного на тот момент компьютера IBM 7094, размером с пианино, исследователи Кэрол Локбаум и Джон Келли создали первую систему электронного синтеза человеческого голоса – Kelly-Lochbaum Vocal Tract. В те годы IBM 7094 стоил около 3,5 миллиона долларов, что сегодня равнялось бы примерно 30 миллионам.
До появления этой машины все попытки воссоздать человеческий голос делались с помощью механических или электромеханических систем. Российский ученый Христиан Готлиб Кратценштейн был первопроходцем в этой области. В 1779 году он сконструировал систему деревянных резонаторов с вибрирующими язычками, похожими на человеческие связки. Каждый резонатор настраивался на определенную частоту и мог точно имитировать один из пяти основных гласных звуков русского языка.
Для первого эксперимента ученые выбрали викторианскую композицию "Daisy Bell" (также известную как "A Bicycle Built for Two"), написанную Гарри Дакром в 1892 году. Возможно, это решение было связано с названием лаборатории – Bell Labs, хотя истинные мотивы так и остались загадкой. Любопытно, что вдохновением для Дакра послужила поездка в США, где его поразила стоимость велосипедов – почти вдвое выше, чем в его родной Англии.
К проекту присоединился Макс Мэтьюз – инженер-электрик и скрипач-любитель, взявший на себя работу над музыкальным сопровождением. Задача оказалась технически сложной: компьютеры того времени не могли воспроизводить звук в реальном времени. Мэтьюзу приходилось программировать каждую ноту отдельно, записывая часовой массив данных, который затем ускоряли до 17-секундной мелодии. Для этой работы он разработал язык программирования MUSIC, ставший пионером в области цифрового синтеза звука.
Важность эксперимента признали спустя десятилетия: в 2009 году аудиозапись вошла в Национальный реестр звукозаписи Библиотеки Конгресса США как один из первых примеров цифровой музыкальной записи, проложившей путь к современным методам создания и распространения музыки.
Сотрудники Bell Labs часто включали свое творение гостям лаборатории. Среди слушателей оказался британский писатель Артур Кларк, который позже написал сценарий культового фильма "2001 год: Космическая одиссея" (1968). Сотрудники лаборатории вспоминали: Кларк был настолько впечатлен демонстрацией, что провел в Bell Labs целый день, расспрашивая инженеров о технических деталях проекта.
Эксперимент неожиданно сильно повлиял на научную фантастику: в знаменитой сцене фильма бортовой компьютер HAL 9000 поет именно "Daisy Bell", когда его отключают. Пока астронавт Дэвид Боумен извлекает модули памяти компьютера, голос HAL становится все более искаженным и невнятным – так создается жуткий эффект постепенного угасания искусственного разума. Режиссер фильма Стэнли Кубрик потребовал несколько раз переснять эту сцену, чтобы добиться идеального баланса между технологической достоверностью и эмоциональным воздействием.
Кэри О'Делл в своем эссе для Библиотеки Конгресса пишет, что хотя по современным стандартам песня в исполнении IBM 704 звучит примитивно, как монотонный телефонный гудок, именно этот эксперимент стал важнейшим шагом в развитии цифровой музыки.
В эпоху интернета запись 1961 года получила новую жизнь благодаря цифровому художнику Nebbed – он создал анимационный ролик в ретро-стиле с оригинальным аудио. Видео регулярно становится вирусным в социальных сетях и вызывает у зрителей противоречивые чувства: от неподдельного страха до восхищения. За первый месяц после публикации ролик собрал более 5 миллионов просмотров на разных платформах.
Успех эксперимента Bell Labs вдохновил и другие исследовательские центры разрабатывать собственные системы синтеза речи. К концу 1960-х годов японские ученые создали первый коммерческий речевой синтезатор, который мог воспроизводить простые фразы на нескольких языках.
🔔 ITsec NEWS
⚡️Фейковые обновления против криптоинвесторов: CoinLurker не щадит никого
💬Злоумышленники используют фальшивые обновления программного обеспечения для распространения нового вредоносного ПО под названием CoinLurker. По информации компании Morphisec, вирус написан на языке Go, а также оснащён передовыми техниками обфускации и антианализа, что делает его эффективным инструментом для современных кибератак.
Атаки осуществляются через поддельные уведомления об обновлениях, распространяемые на взломанных сайтах WordPress, через малвертайзинг, фишинговые письма с ссылками на фейковые страницы обновлений, поддельные CAPTCHA и социальные сети. Все методы используют компонент Microsoft Edge Webview2 для выполнения вредоносного кода.
Особенностью CoinLurker является метод EtherHiding. Заражённые сайты внедряют скрипты, которые через Web3-инфраструктуру загружают финальный вредонос с Bitbucket, маскирующийся под легитимные файлы — например, «UpdateMe.exe» или «SecurityPatch.exe». При этом исполняемые файлы подписаны украденным сертификатом Extended Validation, что помогает обходить защитные механизмы.
Многоуровневый инжектор впоследствии внедряет вредонос в процесс Microsoft Edge («msedge.exe»). CoinLurker активно скрывает свои действия, декодируя полезную нагрузку в памяти во время выполнения и применяя условные проверки и манипуляции с памятью для усложнения анализа.
Основная цель вируса — кража данных из криптовалютных кошельков Bitcoin, Ethereum, Ledger Live и Exodus, а также из приложений Telegram, Discord и FileZilla. Исследователь Надaв Лорбер подчёркивает, что масштабный сбор данных свидетельствует о фокусе на ценной криптовалютной информации и пользовательских учётных данных.
Одновременно эксперты из Silent Push наблюдают рост малвертайзинг-кампаний, нацеленных на профессионалов графического дизайна. С ноября 2024 года злоумышленники используют рекламные объявления в Google Поиске для распространения заражённых загрузок, связанных с FreeCAD, Rhinoceros 3D, Planner 5D и Onshape.
🔔 ITsec NEWS
⚡️Постквантовая революция: Австралия готовит безопасный интернет к 2030 году
💬Австралия решила к 2030 году отказаться от криптографических технологий, которые сегодня составляют основу интернет-безопасности. Такой шаг объясняется опасениями, что достижения в области квантовых вычислений могут сделать текущие алгоритмы ненадёжными задолго до того, как аналогичные меры планируют принять другие страны.
Австралийское управление связи (ASD) опубликовало рекомендации для устройств с высоким уровнем защиты криптографии (High Assurance Cryptographic Equipment, HACE), которые передают и принимают конфиденциальные данные. В документе указано, что алгоритмы SHA-256, RSA, ECDSA и ECDH не должны использоваться после 2030 года.
Эксперты уже выразили удивление такими амбициозными сроками, особенно на фоне международной практики. Специалисты отметили, что рассматриваемые алгоритмы используются практически во всех веб-соединениях:
ECDH применяется для обмена ключами;
ECDSA или RSA — для аутентификации серверов;
SHA-256 — для обеспечения целостности передаваемых данных.
Удаление последнего противоречит текущим международным рекомендациям.
Причина отказа от указанных алгоритмов связана с прогнозируемыми достижениями в квантовых технологиях. Квантовые компьютеры могут представлять серьёзную угрозу традиционным методам шифрования из-за способности обрабатывать сложные математические задачи в кратчайшие сроки.
Уже в 2016 году началась разработка устойчивых к квантовым атакам алгоритмов. В 2024 году были одобрены три постквантовых алгоритма: ML-KEM, ML-DSA и SLH-DSA. Эти технологии должны обеспечить защиту данных в условиях роста вычислительных мощностей.
В рекомендациях ASD содержатся конкретные сроки и требования для замены устаревающих методов:
AES. Несмотря на надёжность AES-256, алгоритмы AES-128 и AES-192 будут запрещены к использованию после 2030 года из-за уязвимости перед алгоритмом Гровера.
RSA. Для RSA минимальный размер ключа должен составлять 3072 бита (128-битная защита), однако полностью отказаться от RSA планируется до 2030 года.
Хеширование. Хотя SHA-256 на данный момент считается безопасным, ASD рекомендует переход на SHA-384. Примечательно, что SHA-224 и SHA-256 не будут одобрены после 2030 года.
MAC. В качестве методов аутентификации предлагаются HMAC-SHA256, HMAC-SHA384 и HMAC-SHA512, однако HMAC-SHA256 также попадает под запрет.
DH и ECDH. Для эллиптических методов обмена ключами минимальное значение – 224 бита. Однако P-256, обеспечивающая 128-битную безопасность, также будет исключена. ASD рекомендует использовать P-384.
ECDSA. Как и в случае с ECDH, алгоритм требует минимум 224-битной кривой, но он будет выведен из эксплуатации к 2030 году.
Вопрос о гибкости сроков перехода остаётся открытым. Возможно, оборудование, не относящееся к категории HACE, получит дополнительное время для обновления. Однако стремление Австралии укрепить криптографическую защиту к 2030 году сигнализирует о новом этапе в развитии мировой кибербезопасности.
Эксперты отмечают, что столь быстрое внедрение новых стандартов станет сложной задачей. Сегодня практически все веб-соединения и элементы защищённой инфраструктуры опираются на ECDH и RSA/ECDSA. Обновление систем потребует значительных усилий в течение ближайших лет.
🔔 ITsec NEWS
⚡️Ананас на пицце – это вкусно? Безобидная шутка Малленвега вызвала шквал критики
💬 Мэтт Малленвег, скандально известный сооснователь WordPress и генеральный директор Automattic, недавно вызвал недоумение среди сообщества WordPress, добавив обязательный флажок при входе в систему, где пользователи должны подтвердить, что ананас на пицце — это вкусно.
Изменение было замечено поздно вечером в воскресенье, 15 декабря, и остаётся актуальным до сих пор. При попытке войти или создать новый аккаунт без отметки система выдаёт ошибку.
Решение Малленвега стало следствием судебного разбирательства между WP Engine и Automattic. Ранее суд обязал удалить другой спорный флажок, который требовал подтверждения, что пользователь не связан с WP Engine. После этого Малленвег выразил разочарование, заявив, что больше не хочет работать над проектом.
«Меня тошнит от того, что меня заставляют бесплатно трудиться на организацию, которую я считаю паразитической», — написал Малленвег в Slack-сообществе Post Status, прежде чем удалить аккаунт. Позже он повторил это заявление в X (бывший Twitter), отметив, что выполнил требования суда, но остался крайне недоволен решением.
Сообщество WordPress встретило нововведение с критикой. Франческа Марано, участница проекта с десятилетним стажем, заявила, что подобные шутки недопустимы для крупнейшей CMS-платформы в мире. «Это не время и не место для детских игр», — подчеркнула она.
Марано отметила, что изменения были видны в системе отслеживания обновлений WordPress, а флажок был добавлен за считанные часы. По её мнению, это вызывает вопросы о приоритетах и безопасности проекта, а также ставит под угрозу пользователей, которые не могут получить доступ к своим профилям.
Многие разработчики и авторы плагинов выразили опасения по поводу прозрачности управления WordPress и отсутствия ответственности со стороны руководства. Открытое письмо группы участников платформы указало на «двойные стандарты» и недостаток согласованности в принятии решений.
Несмотря на возникшую ситуацию, руководство Automattic заверило пользователей в стабильности работы WordPress. В заявлении компании говорится, что уровень сервиса останется прежним и бизнес-процессы не будут нарушены.
Забавно, как один на первый взгляд незначительный флажок способен вызвать бурю в сообществе разработчиков и пользователей. Казалось бы, мелочь — однако она затронула куда более глубокие вопросы: прозрачность управления, приоритеты проекта и отношение к сообществу.
Резкая критика, на первый взгляд преувеличенная, на самом деле отражает накопившееся недовольство и тревогу за будущее крупнейшей open-source платформы. Таким образом, можно смело утверждать, что суть — не в мелочах, а в трещинах, которые они обнажают.
🔔 ITsec NEWS
⚡️За кулисами телемедицины: масштабный взлом, который напугал всю Америку
💬 Компания Phreesia, специализирующаяся на решениях в сфере SaaS для здравоохранения, сообщила о масштабной утечке персональных и медицинских данных. Инцидент затронул более 910 тысяч человек и произошёл из-за взлома дочерней платформы ConnectOnCall в мае 2024 года.
ConnectOnCall, приобретённая Phreesia в октябре 2023 года, представляет собой телемедицинский сервис и платформу для обработки звонков от пациентов в нерабочие часы с функцией автоматического отслеживания коммуникаций. По данным компании, несанкционированный доступ продолжался почти три месяца — с 16 февраля по 12 мая 2024 года.
Проблема была обнаружена 12 мая, после чего ConnectOnCall провела внутреннее расследование и приняла меры для защиты системы. В результате выяснилось, что третьи лица получили доступ к конфиденциальным данным, содержащимся в сообщениях между пациентами и медицинскими сотрудниками.
Среди утекших данных — имена, номера телефонов, даты рождения и медицинские номера пациентов. Также могла быть раскрыта информация о заболеваниях, назначенном лечении и рецептах. В небольшом числе случаев злоумышленники получили доступ к номерам социального страхования.
После выявления утечки Phreesia незамедлительно уведомила федеральные правоохранительные органы и привлекла внешних специалистов по кибербезопасности для детального анализа произошедшего. Платформа ConnectOnCall была временно отключена, а компания приступила к восстановлению работы сервиса в более защищённой среде.
Согласно заявлению, ConnectOnCall работает отдельно от других продуктов Phreesia. Компания заверила, что другие сервисы, включая платформу для приёма пациентов, не были скомпрометированы в результате взлома.
Phreesia порекомендовала пострадавшим принять меры предосторожности и сообщить о подозрительных действиях в страховые компании или финансовые учреждения. Хотя на данный момент отсутствуют доказательства неправомерного использования данных, компания призвала к повышенной бдительности.
По сведениям, предоставленным Департаменту здравоохранения и социальных служб США, инцидент затронул 914 138 человек. В Phreesia подчеркнули, что работают над скорейшим восстановлением ConnectOnCall, понимая важность сервиса для клиентов.
🔔 ITsec NEWS
⚡️ФБР: ваша веб-камера уже стала частью теневой сети
💬 ФБР предупредило о новой кампании атак с использованием вредоносного ПО HiatusRAT, нацеленной на уязвимые веб-камеры и цифровые видеорегистраторы, подключенные к интернету. Атаки направлены преимущественно на устройства китайского производства, которые не получили обновления безопасности или уже достигли конца жизненного цикла.
Согласно уведомлению, злоумышленники в марте 2024 года провели сканирование IoT-устройств в США, Австралии, Канаде, Новой Зеландии и Великобритании. Главной целью стали веб-камеры и DVR, содержащие уязвимости CVE-2017-7921, CVE-2018-9995, CVE-2020-25078, CVE-2021-33044, CVE-2021-36260 и слабые пароли, установленные производителями.
Хакеры активно эксплуатируют устройства марок Hikvision и Xiongmai с доступом через telnet. Для атаки используются Ingram, инструмент для поиска уязвимостей веб-камер, и Medusa, программа для перебора аутентификационных данных. Киберпреступники нацеливаются на TCP-порты 23, 26, 554, 2323, 567, 5523, 8080, 9530 и 56575, открытые для доступа из интернета.
ФБР рекомендует ограничить использование упомянутых устройств или изолировать их от остальных элементов сети для предотвращения взломов и дальнейшего распространения угрозы. Системным администраторам и специалистам по кибербезопасности рекомендуется направлять предполагаемые признаки компрометации в Центр жалоб на интернет-преступления ФБР (IC3) или местные офисы ведомства.
Текущая кампания продолжает серию кампаний, среди которых – волна атак на маршрутизаторы DrayTek Vigor, в результате которых более сотни компаний в Северной Америке, Европе и Южной Америке подверглись компрометации. Вредоносное ПО HiatusRAT использовалось для создания скрытой прокси-сети на зараженных устройствах.
Специалисты Lumen, обнаружившие HiatusRAT, отмечают, что основная цель ПО — развёртывание дополнительных вредоносных компонентов и превращение взломанных устройств в SOCKS5-прокси для связи с C2-серверами. Изменение приоритетов атак и характера сбора информации совпадает со стратегическими интересами Китая.
🔔 ITsec NEWS
⚡️Ваш Curl опасен: почему важно обновить его до версии 8.11.1
💬 В популярном инструменте для передачи данных Curl была обнаружена критическая уязвимость, позволяющая злоумышленникам получить доступ к конфиденциальной информации. Уязвимость, зарегистрированная под идентификатором CVE-2024-11053, затрагивает версии Curl от 6.5 до 8.11.0 и может приводить к утечке паролей.
Проблема безопасности возникает, если Curl настроен на использование файла .netrc для хранения учётных данных и выполнение HTTP-перенаправлений. При определённых условиях пароли, использованные для исходного хоста, могли передаваться перенаправленному хосту. Такая ситуация возможна, если:
В файле .netrc есть запись, соответствующая целевому хосту перенаправления.
Эта запись не содержит пароля или ни имени пользователя, ни пароля.
Например, если Curl перенаправляет запрос с a.tld на b.tld, а в файле .netrc есть запись для b.tld без пароля, Curl может передать пароль от a.tld хосту b.tld.
Уязвимость классифицирована как CWE-200 — раскрытие конфиденциальной информации неавторизованным лицам. Несмотря на риски, уровень опасности этой уязвимости оценён как низкий. Проблема затрагивает как библиотеку libcurl, так и командную строку Curl, которая широко используется в различных приложениях.
Проект Curl выпустил версию 8.11.1 11 декабря 2024 года, устраняющую эту уязвимость. Пользователям настоятельно рекомендуется:
Обновить Curl и libcurl до версии 8.11.1.
Применить патч к текущей версии и пересобрать её.
Избегать использования файлов .netrc в сочетании с перенаправлениями.
Сообщение о проблеме было направлено в проект Curl 8 ноября 2024 года. После детального анализа и устранения уязвимости команда Curl уведомила сообщество distros@openwall 3 декабря 2024 года. Координация выпуска версии 8.11.1 и публикации официального уведомления была проведена 11 декабря 2024 года.
Пользователям и администраторам настоятельно рекомендуется проверить конфигурацию Curl и обновить программу до последней версии, чтобы избежать возможной утечки данных.
🔔 ITsec NEWS
⚡️Кибератака на SRP: данные тысяч заёмщиков в руках вымогателей
💬 Около 240 тысяч человек стали жертвами кибератаки на SRP — один из крупнейших федеральных кредитных союзов в Южной Каролине. Как следует из документов, поданных компанией в регуляторные органы штатов Мэн и Техас, подозрительная активность в сети была обнаружена осенью этого года. SRP, основанный в 1960 году, на 2022 год располагал активами на сумму более 1,6 миллиарда долларов.
Расследование показало, что хакеры имели доступ к системам кредитного союза с 5 сентября по 4 ноября 2024 года. Вероятно, за этот период были похищены определённые файлы. Завершившееся 22 ноября расследование подтвердило факт утечки данных.
Среди украденной информации оказались имена, номера социального страхования, водительские удостоверения, даты рождения, а также финансовая информация, включая номера счетов, кредитных и дебетовых карт.
SRP Federal Credit Union утверждает, что атака не затронула систему онлайн-банкинга и основные процессы обработки данных. Однако запросы журналистов о комментариях по поводу объёма и точного состава похищенной информации остались без ответа.
Ответственность за кибератаку взяла на себя новая группировка вымогателей под названием Nitrogen, заявившая, что ей удалось похитить 650 ГБ клиентских данных. Однако официального подтверждения того, что атака носила вымогательский характер — не поступало.
Группа Nitrogen была впервые зафиксирована исследователями из HackManac в октябре 2024 года. Ранее она совершила атаку на канадского разработчика видеоигр Red Barrels, что привело к значительным задержкам в выпуске их игр.
Подобные атаки на кредитные союзы становятся всё более частым явлением. В прошлом году около 60 кредитных союзов столкнулись с масштабными сбоями из-за атаки на популярного поставщика программного обеспечения. Тогда вмешательства федеральных регуляторов потребовало множество жалоб от клиентов, которые на несколько дней потеряли доступ к своим счетам.
Также в июле этого года кибератака на несколько недель парализовала работу крупного кредитного союза в Калифорнии.
🔔 ITsec NEWS
⚡️От обороны к наступлению: США готовят решительный удар по китайским хакерам
💬В недавнем эфире программы «Face the Nation» конгрессмен Майкл Уолтц, назначенный советником по национальной безопасности США, подчеркнул необходимость более жёсткой стратегии в области кибербезопасности. Уолтц прокомментировал недавний масштабный взлом восьми американских телекоммуникационных компаний, в котором обвиняется Китай. По его словам, атака поставила под угрозу метаданные миллионов граждан, а также продемонстрировала уязвимость инфраструктуры страны.
Сенатор Марко Рубио назвал эту атаку «опасной и неожиданной угрозой», а Уолтц добавил, что США должны перейти от исключительно оборонительных мер к наступательным. Он подчеркнул, что китайские хакеры не только крадут данные, но и закладывают «кибербомбы» в критически важные системы, включая водоснабжение, энергетику и порты.
Уолтц заявил, что администрация Дональда Трампа планирует кардинально изменить подход к киберугрозам. Он указал, что наказание за подобные действия должно быть ощутимым как для частных лиц, так и для государственных структур, ответственных за атаки.
Конгрессмен отметил необходимость укрепления сотрудничества между государством и частным сектором, обладающим передовыми технологиями для отражения атак и повышения киберустойчивости. Он также упомянул важность пересмотра доктрины кибербезопасности, чтобы не допустить повторения таких инцидентов.
По словам Уолтца, президент Трамп поддерживает инициативу по введению жёстких санкций против Китая за подобные действия. Он подчеркнул, что США необходимо не только защищаться, но и изменять поведение оппонентов с помощью активных и решительных мер.
🔔 ITsec NEWS
⚡️NotebookLM оживает: Google позволяет пользователям участвовать в ИИ-подкастах
💬 Google обновила инструмент NotebookLM, добавив возможность участия пользователей в диалогах с двумя виртуальными ведущими подкастов. Новый функционал включает кнопку «Join», которая позволяет задавать вопросы прямо во время воспроизведения аудиообзора.
NotebookLM , разработанный в рамках Google Labs, создан для работы с большими объёмами информации. Инструмент позволяет загружать PDF-документы, веб-сайты, подкасты и видео с YouTube, чтобы формировать аудиообзоры, которые звучат как разговор двух ведущих. Такой подход облегчает изучение сложных тем, предоставляя ключевую информацию в удобном формате.
В интерфейсе NotebookLM появились три основных раздела: панель источников, окно создания аудиообзора и чат. Панель источников используется для выбора материалов, которые включаются в итоговый подкаст. Чат позволяет задавать вопросы, на которые даются ответы на основе предоставленных данных.
Новая кнопка «Customize» добавляет возможность точной настройки содержания аудиообзора. Например, пользователи могут указать, чтобы акцент был сделан на определённой части текста или темах.
В декабре инструмент был переведён на модель Gemini 2.0, что, как ожидается, улучшит обработку данных. Основное внимание в последних обновлениях уделено интерактивной функции, которая позволяет пользователям присоединяться к диалогу. Для этого нужно включить интерактивный режим, запустить аудиообзор и нажать кнопку «Join».
Кроме того, Google планирует ввести платную подписку NotebookLM Plus в начале 2025 года. Она позволит создавать больше аудиообзоров, а также настраивать стиль и длину ответов.
Функция «Join» и другие обновления постепенно внедряются, однако некоторые возможности пока недоступны всем пользователям.
🔔 ITsec NEWS
