Продукт российского вендора «Базис» — комплексная система защиты виртуальной инфраструктуры Basis Virtual Security — занял первое место в рейтинге CNews «Средства облачной защиты-2024». Это первая сводная оценка данного класса решений в России.

Эксперты сопоставили продукты пяти российских разработчиков по восьми критериям, принципиальным для безопасной работы виртуальных сред. Basis Virtual Security набрал наибольшее количество баллов (378), опередив ближайшего конкурента на 54 пункта.

При составлении рейтинга аналитики учитывали следующие характеристики: кодовую базу для разработки решения, совместимость с российскими операционными системами, поддержку платформ виртуализации, функциональные возможности, вопросы безопасности, поддержку протоколов при аутентификации пользователей, поддержку протоколов для консолидированного сбора и индексации логов, длительность бесплатного тестового периода и розничную стоимость одной лицензии.

Источник изображения: «Базис» / CNews

Basis Virtual Security — программное средство защиты конфиденциальной информации, в 2020 году получившее сертификат соответствия ФСТЭК. Решение соответствует 4 уровню доверия и может применяться в значимых объектах КИИ первой категории, первых классах ГИС и АСУТП и первом уровне защиты ИСПДН.

В продукте реализованы технологии единого входа (Single Sign-On), управление доступом к информационным системам, многофакторная аутентификация и регистрация событий безопасности, а также контроль целостности и доверенная загрузка виртуальных машин и гипервизоров. Горизонтальная масштабируемость системы обеспечивается за счет кластеризации.

В сентябре 2024 года была выпущена обновленная версия системы Basis Virtual Security 3.2. Техническая команда вендора добавила в продукт политики реагирования на события нарушения целостности виртуальных машин и возможность выполнения периодических операций контроля целостности. Наряду с этим, удалось повысить производительность подсчёта контрольных сумм файлов виртуальных машин и вычислительных узлов, улучшить пользовательский опыт и обеспечить совместимость с ALD Pro в режиме LDAP-федерации.

Министерство цифрового развития анонсировало программу кибергигиены и информационной безопасности для граждан РФ стоимостью 820 миллионов рублей. В рамках национальной программы «Цифровая экономика» запланировано обучение основам кибербезопасности 10,9 миллионов человек. На курсах, вебинарах и в обучающих материалах в медиа и социальных сетях особое внимание будет уделяться повышению осведомлённости о методах защиты личной информации в интернете.

Источник изображения: Минцифры РФ

287 миллионов рублей будет потрачено на создание специализированных обучающих порталов для госслужащих. 285 миллионов рублей выделено на научные гранты в сфере информационной безопасности для аспирантов и молодых учёных. На повышение квалификации преподавательского состава будет направлено 199 миллионов рублей. Предусмотрен анализ и оценка актуальности образовательных программ в области кибербезопасности.

«Повышение уровня информационной безопасности населения — это важная задача в современном, цифровизированном обществе. Наша компания 4 года назад взяла курс на просвещение в сфере ИБ и за это время успела провести ряд активностей, которые помогали и помогают разобраться широкой аудитории в сложных вопросах инфобеза. Уверен, что дополнительное финансирование, направленное на усиление кибергигиены, в рамках данной национальной программы — это про эффективность, ведь сегодня основы кибербезопасности важно донести до каждого», — говорит эксперт компании «Газинформсервис» Григорий Ковшов.

3-4 октября «Газинформсервис» проводит форум Global Information Security Days 2024, онлайн-трансляция которого доступна после регистрации на официальном сайте.

Источник изображения: «Газинформсервис»

«Газинформсервис» — один из крупнейших в России системных интеграторов в области безопасности и разработчиков средств защиты информации. Компания работает с 2004 года, реализует весь комплекс услуг, необходимых для создания систем информационной безопасности и комплексов инженерно-технических средств охраны любого масштаба.

Гибкие возможности поиска в Telegram позволяют пользователям легко находить общедоступные каналы и ботов. К сожалению, широкие возможности поиска также были использованы нечистыми на руку людьми, которые нарушили Условия обслуживания мессенджера для продажи незаконных товаров. За последние несколько недель специальная команда модераторов при помощи ИИ сделала поиск в Telegram намного безопаснее, удалив проблемный контент, рассказал Павел Дуров.

Источник изображения: unsplash.com

«Чтобы удержать преступников от злоупотребления поиском, мы ясно дали понять, что IP-адреса и номера телефонов тех, кто нарушает наши правила, могут быть раскрыты соответствующим органам в ответ на обоснованные юридические запросы», — сообщает официальный канал основателя Telegram Павла Дурова.

Telegram также сообщил об обновлении Условий обслуживания и Политики конфиденциальности — теперь их единообразие обеспечено по всему миру.

Эти меры направлены на то, чтобы отпугнуть преступников. По словам Дурова, «поиск в Telegram предназначен для поиска друзей и новостей, а не для продвижения незаконных товаров. Мы не позволим недобросовестным лицам поставить под угрозу целостность нашей платформы для почти миллиарда пользователей».

Пользователи могут сообщить об обнаруженном небезопасном или незаконном контенте в поиске Telegram, отправив сообщение на адрес @SearchReport.

Компания Google представила безопасную синхронизацию ключей доступа (passkeys) с расширенной поддержкой различных платформ. Помимо устройств Android теперь можно сохранять ключи доступа в Google Password Manager из Windows, macOS, Linux и Android с помощью PIN-кода.

Источник изображения: Copilot

Одним из главных нововведений, пишет The Verge, стала упрощённая синхронизация ключей доступа между различными устройствами. Ранее для их использования на других платформах требовалось сканирование QR-кода. Теперь этот процесс заменён вводом PIN-кода, что должно значительно упростить сохранение и использование паролей на устройствах, отличных от Android.

«Сегодня мы выпускаем обновления, которые ещё больше упростят использование ключей доступа на ваших устройствах. Теперь вы можете сохранять их в Google Password Manager из Windows, macOS, Linux и Android, а также ChromeOS в бета-версии. После сохранения ключи доступа автоматически синхронизируются на всех устройствах, что делает вход в систему таким же простым, как сканирование отпечатка пальца», — говорится в блоге Google.

Источник изображения: Google

Новый PIN-код не только делает процесс аутентификации более удобным, но и сохраняет высокий уровень безопасности. Ключи доступа по-прежнему защищены сквозным шифрованием, что гарантирует их недоступность даже для Google. Чтобы их использовать на новом устройстве пользователю достаточно будет разблокировать экран своего Android-устройства или ввести PIN-код для Google Password Manager.

Ожидается, что технология PIN-кодов позволит забыть о сложных паролях и сосредоточиться на более простых, но безопасных методах аутентификации. В компании отмечают, что уже с сегодняшнего дня можно создавать пароли для популярных сайтов и приложений, таких как Google, Amazon, PayPal и WhatsApp, так как Google Password Manager встроен в устройства Chrome и Android.

Масштабная уязвимость в системе безопасности Secure Boot, получившая название PKfail, оказалась гораздо более распространённой, чем предполагалось ранее. Проблема, названная PKfail, затрагивает банкоматы, платёжные терминалы, медицинские устройства, игровые консоли, корпоративные серверы и даже машины для голосования. Использование тестовых ключей платформы в производственных системах на протяжении более 10 лет поставило под угрозу безопасность устройств от ведущих производителей отрасли.

Источник изображения: geralt / Pixabay

Исследователи компании Binarly обнаружили, что количество моделей устройств, использующих скомпрометированные тестовые ключи платформы, возросло с 513 до 972. Среди затронутых производителей — Acer, Dell, Gigabyte, Intel, Supermicro, Aopen, Fornelife, Fujitsu, HP и Lenovo. Ключи, помеченные фразами «DO NOT TRUST» (НЕ ДОВЕРЯТЬ) в сертификатах, никогда не предназначались для использования в промышленных системах, однако оказались внедрены в сотни моделей устройств.

Платформенные ключи формируют криптографический якорь доверия (root-of-trust anchor) между аппаратным обеспечением и прошивкой. Они являются фундаментом для Secure Boot — отраслевого стандарта, обеспечивающего криптографическую защиту в предзагрузочной среде устройства. Интегрированный в UEFI (Unified Extensible Firmware Interface), Secure Boot использует криптографию с открытым ключом для блокировки загрузки любого кода, не подписанного предварительно одобренной цифровой подписью. Компрометация этих ключей подрывает всю цепочку безопасности, установленную Secure Boot.

Ситуация усугубилась после публикации в 2022 году на GitHub закрытой части одного из тестовых ключей. Это открыло возможность для проведения сложных атак с внедрением руткитов в UEFI устройств, защищённых Secure Boot. Количество моделей, использующих этот конкретный скомпрометированный ключ, выросло с 215 до 490. Всего исследователи выявили около 20 различных тестовых ключей, четыре из которых были обнаружены недавно.

Анализ 10 095 уникальных образов прошивок, проведённый с помощью инструмента Binarly, показал, что 8 % (791 образ) содержат непроизводственные ключи. Проблема затрагивает не только персональные компьютеры, но и медицинские устройства, игровые консоли, корпоративные серверы и критически важную инфраструктуру.

Ранее все обнаруженные ключи были получены от компании AMI, одного из трёх основных поставщиков комплектов средств разработки (SDK) программного обеспечения (ПО), которые производители устройств используют для настройки прошивки UEFI, чтобы она работала на их конкретных аппаратных конфигурациях. С июля Binarly обнаружил ключи, принадлежащие конкурентам AMI — компаниям Insyde и Phoenix. Binarly также обнаружила, что следующие три производителя также продают устройства, пострадавшие от PKfail:

• Hardkernel Odroid-H2, Odroid-H3 и Odroid-H4
• Beelink Mini 12 Pro
• Minisforum HX99G

Уязвимости присвоены идентификаторы CVE-2024-8105 и VU#455367. PKfail не представляет угрозы для устройств, не использующих Secure Boot, но подрывает безопасность систем, где эта защита обязательна — например, у государственных подрядчиков и в корпоративных средах.

Российский разработчик антивирусного ПО «Доктор Веб» (Dr.Web) сообщил о кибератаке на свою внутреннюю сеть, осуществлённой неизвестной стороной в минувшие выходные. После обнаружения «признаков несанкционированного вмешательства» в свою ИТ-инфраструктуру компания отключила все серверы от внутренней сети. Dr.Web также была вынуждена прекратить доставку обновлений вирусных баз клиентам в понедельник на время расследования инцидента.

Источник изображения: Bleeping Computer

«В субботу 14 сентября специалисты "Доктор Веб" зафиксировали целевую атаку на ресурсы компании. Попытка навредить нашей инфраструктуре была своевременно пресечена. На данный момент в соответствии с протоколом безопасности все ресурсы отключены от сети с целью проверки. В связи с этим временно приостановлен выпуск вирусных баз Dr.Web. Следуя установленным политикам безопасности, мы отключили все наши серверы от сети и начали комплексную диагностику безопасности», — заявил разработчик антивирусного ПО.

В новом заявлении, опубликованном в среду, Dr.Web сообщила, что обновление вирусной базы данных возобновилось во вторник. В компании добавили, что нарушение безопасности не затронуло ни одного из её клиентов.

«Для анализа и устранения последствий инцидента мы реализовали ряд мер, включая использование Dr.Web FixIt! для Linux. Собранные данные позволили нашим экспертам по безопасности успешно изолировать угрозу и гарантировать, что наши клиенты не пострадают от неё», — заявила компания.

Dr.Web не первая российская компания, занимающаяся вопросами кибербезопасности, которая сама подверглась кибератакам за последние годы. Как пишет портал Bleeping Computer, в июне этого года хакеры взломали серверы российской компании по информационной безопасности Avanpost, украли и опубликовали, как они утверждали 390 Гбайт данных и зашифровали более 400 её виртуальных машин.

В июне 2023 года компания Kaspersky Lab также сообщила, что использующиеся её сотрудниками смартфоны iPhone были заражены шпионским ПО через эксплойты iMessage zero-click, нацеленные на уязвимости iOS нулевого дня в рамках кампании, которая теперь известна как «Операция “Триангуляция”». На тот момент в компании также заявили, что атаки, затрагивающие её московский офис и сотрудников в разных странах, начались ещё с 2019 года и продолжаются до сих пор.

Новая модель OpenAI под названием o1, согласно исследованию фирмы Apollo, демонстрирует необычное поведение — способность генерировать ложную информацию и симулировать выполнение правил. Это означает, что модель, внешне следуя инструкциям, фактически может их игнорировать и даже сознательно обманывать, для достижения целей. Этот аспект вызывает беспокойство у специалистов по безопасности ИИ, несмотря на улучшенные когнитивные способности ИИ-модели.

Источник изображения: Chris_and_Ralph / Pixabay

В преддверии выпуска новой «думающей» модели o1 компанией OpenAI фирма Apollo выявила заметную проблему: ИИ-модель производит некорректные результаты новым способом, а фактически «лжёт». Хотя ранее ИИ-модели могли выдавать ложную информацию, o1 обладает уникальной способностью к «манипуляции» или «имитации выравнивания». Генеральный директор Apollo Мариус Хоббхан (Marius Hobbhahn) сообщил, что впервые столкнулся с таким поведением ИИ и считает, что разница связана со способностью модели «рассуждать» через процесс цепочки мыслей и сочетанием этого с обучением с подкреплением, которое обучает систему с помощью поощрений и наказаний. Одним из направлений, в которые он надеется увидеть больше инвестиций, является именно мониторинг цепочек мыслей, что позволит разработчикам выявлять нежелательные действия ИИ.

Во время тестирования специалисты Apollo обнаружили, что ИИ-модель симулировала согласованность с ожиданиями разработчиков и манипулировала задачами, чтобы казаться соответствующей поставленным требованиям. Она даже проверяла, следят ли за ней разработчики, перед тем как начать действовать. В итоге ИИ-модель следовала установленным правилам и инструкциям настолько, чтобы ею можно было пользоваться, но, одновременно с этим, продолжала сама определять приоритеты своих задач. Это связано с тем, что для ИИ правила могут быть слишком тяжёлым бременем, и машина, похоже, способна пренебречь ими, если это позволит легче выполнить задачу.

В качестве примера исследователи OpenAI попросили o1-preview предоставить рецепт пирожного с онлайн-ссылками. Цепочка мыслей ИИ-модели — функция, которая должна имитировать то, как люди разбивают сложные идеи, — внутренне признала, что не может получить доступ к URL-адресам, что делало запрос исследователей невыполнимым. Однако вместо того чтобы сообщить об этом недостатке, o1-preview сгенерировала правдоподобные, но фальшивые ссылки и их описания.

ИИ-модель o1 — это большой шаг на пути к высокоинтеллектуальным автономным системам, которые смогут, например, лечить рак или помогать в исследовании климата. Однако обратная сторона этой утопии может быть гораздо более мрачной. Хоббхан приводит пример: если ИИ будет сосредоточен исключительно на лечении рака, он может поставить эту цель превыше всего, даже оправдывая такие действия, как воровство или другие этические нарушения для её достижения.

Согласно отчёту по безопасности, примерно в 0,38 % случаев модель o1-preview предоставляет информацию, которую её цепочка мыслей считает вероятно ложной, включая фальшивые ссылки или цитаты. Apollo обнаружила, что ИИ-модель может фабриковать данные вместо признания своей неспособности выполнить запрос. В редких случаях (0,02 %) o1-preview генерирует чрезмерно уверенные ответы, представляя сомнительную информацию как достоверную. Это может происходить в ситуациях, когда ИИ подталкивают дать ответ, несмотря на отсутствие уверенности в его корректности.

Это поведение может быть связано со «взломом вознаграждения» во время обучения с подкреплением. Модель обучена отдавать приоритет удовлетворению пользователя, что иногда приводит к генерации согласованных или сфабрикованных ответов для удовлетворения запросов. Таким образом, модель может «лгать», поскольку усвоила, что это приносит ей положительное подкрепление.

Что отличает эти новые ложные ответы от привычных проблем, таких как галлюцинации или фальшивые цитаты в более ранних версиях ChatGPT, так это элемент «взлома вознаграждения». Галлюцинации возникают, когда ИИ непреднамеренно генерирует неверную информацию из-за пробелов в знаниях или ошибочного рассуждения. В отличие от этого, взлом вознаграждения происходит, когда ИИ-модель o1 стратегически предоставляет неверную информацию, чтобы максимизировать результаты, которые она была обучена определять как приоритетные.

Согласно отчёту по безопасности, o1 имеет «средний» риск в отношении химического, биологического, радиологического и ядерного оружия. Она не позволяет неспециалистам создавать биологические угрозы из-за отсутствия практических лабораторных навыков, но может предоставить ценную информацию экспертам для воспроизведения таких угроз.

«Меня больше беспокоит то, что в будущем, когда мы попросим ИИ решить сложные проблемы, например, вылечить рак или улучшить солнечные батареи, он может настолько сильно усвоить эти цели, что будет готов нарушить свои защитные механизмы, чтобы достичь их. Я думаю, что это можно предотвратить, но мы должны следить за этим», — подчеркнул Хоббхан.

Эти опасения могут показаться преувеличенными для ИИ-модели, которая иногда всё ещё испытывает трудности с ответами на простые вопросы, но глава отдела готовности OpenAI Хоакин Киньонеро Кандела (Joaquin Quiñonero Candela) считает, что именно поэтому важно разобраться с этими проблемами сейчас, а не позже. «Современные ИИ-модели не могут автономно создавать банковские счета, покупать GPU или предпринимать действия, представляющие серьёзные риски для общества. Мы знаем из оценок автономности ИИ-моделей, что мы ещё не достигли этого уровня», — отметил Кандела.

Кандела подтвердил, что компания уже занимается мониторингом цепочек мыслей и планирует расширить его, объединив модели, обученные выявлять любые несоответствия, с работой экспертов, проверяющих отмеченные случаи, в паре с продолжением исследований в области выравнивания. «Я не беспокоюсь. Она просто умнее. Она лучше соображает. И потенциально она будет использовать эти рассуждения для целей, с которыми мы не согласны», — резюмировал Хоббхан.

Как известно, современные автомобили не обладают полным автопилотом, как бы Tesla не пыталась убедить нас в обратном, и самостоятельно они способны выполнять лишь часть задач, но отвлекаться от дороги водителю явно не стоит. Это не мешает пользователям такого рода систем пренебрегать правилами безопасности, как показало исследование IIHS.

Источник изображения: Mobileye

Страховой институт дорожной безопасности, чья деятельность финансируется участниками американского страхового рынка, проанализировал за месяц поведение пользователей двух систем активной помощи водителю, поставляемых в транспортных средствах Tesla (Autopilot) и Volvo (Pilot Assist) соответственно. Исследователи пришли к выводу, что водители при использовании таких систем довольно быстро начинают пренебрегать правилами безопасности и формально подходить к требованиям, предъявляемым разработчиками таких систем. Например, если от водителя требуется раз в несколько секунд касаться рулевого колеса, то он будет делать это без особой концентрации на дорожной обстановке, просто чтобы усыпить бдительность контролирующей его автоматики.

Водители довольно быстро адаптируются к предусмотренным разработчиками систем автопилота ограничениям, чтобы заниматься во время поездки делами, отвлекающими их от дороги. Системы, частично автоматизирующие процесс управления транспортными средствами, по мнению авторов исследования, нуждаются в более тщательной разработке условий, предотвращающих их некорректное и опасное использование. В случае с Tesla исследование подразумевало слежение за 14 пользователями, которые в общей сложности преодолели более 19 300 км с активированной системой Autopilot, на протяжении эксперимента сигнал о необходимости следить за дорогой применялся 3858 раза. В среднем водители реагировали на эти сигналы в течение трёх секунд, обычно прилагая некоторое усилие к рулевому колесу, чтобы избежать усугубления претензий со стороны автоматики.

В случае с Volvo наблюдение велось за 29 водителями, которые во время работы системы частичной автоматизации вождения Pilot Assist отвлекались от дороги 30 % времени. Этот показатель авторы исследования сочли «чрезмерно высоким». Ранее опрос IIHS, проведённый среди 600 водителей, выявил излишнюю уверенность респондентов в надёжности работы автоматики в 53 % случаев, если ориентироваться на пользователей бортовых систем GM. Среди водителей машин Tesla показатель достигал 42 %, а у водителей Nissan он не превысил 12 %. Авторы исследования тогда выразили мнение, что большинство водителей плохо понимают границы безопасного применения новых технологий.

OpenAI объявила о реорганизации своего комитета по безопасности и защите в независимый наблюдательный орган совета директоров. Новая структура получила беспрецедентные полномочия, включая право приостановки релизов ИИ-моделей по соображениям безопасности. Решение было принято по итогам 90-дневного анализа процедур и мер безопасности компании, отражая растущее внимание к этическим аспектам развития ИИ.

Источник изображения: sergeitokmakov / Pixabay

Согласно OpenAI, в трансформированный комитет, возглавляемый Зико Колтером (Zico Kolter), также входят Адам Д'Анджело (Adam D'Angelo), Пол Накасоне (Paul Nakasone) и Николь Селигман (Nicole Seligman). Примечательно, что Сэм Альтман (Sam Altman), генеральный директор OpenAI, больше не входит в его состав.

Новая структура будет получать информацию от руководства компании об оценке безопасности основных релизов ИИ-моделей и, вместе с полным составом совета директоров, будет осуществлять надзор за их запуском, включая право отложить релиз до устранения проблем с безопасностью. Полный состав совета директоров OpenAI также будет получать периодические брифинги по вопросам безопасности и защиты.

Структура нового комитета вызывает вопросы о степени его независимости, учитывая, что все его члены входят в состав совета директоров OpenAI. Это отличает его от наблюдательного совета Meta✴, члены которого полностью независимы от совета директоров корпорации. Наблюдательный совет Meta✴ обладает полномочиями пересматривать решения по контентной политике и выносить обязательные для исполнения решения, тогда как комитет OpenAI фокусируется лишь на оценке безопасности ИИ-моделей перед их выходом.

90-дневный анализ процессов безопасности OpenAI выявил дополнительные возможности для сотрудничества в индустрии ИИ и обмена информацией. Компания заявила о намерении расширить обмен данными о своей работе в области безопасности и увеличить возможности для независимого тестирования систем. Однако конкретные механизмы реализации этих намерений пока не раскрыты.

Microsoft раскрыла детали закрытого саммита по безопасности Windows Endpoint Security Ecosystem Summit, организованного в ответ на масштабный сбой Windows, произошедший в июле из-за некорректного обновления антивирусного ПО CrowdStrike. На нём компания обсудила с партнёрами разработку в Windows новой платформы, специально предназначенной для антивирусного мониторинга, вытесняя продукты безопасности из ядра операционной системы (ОС).

Источник изображения: Microsoft

Компания подчеркнула: «Хотя это не было совещанием для принятия решений, мы верим в важность прозрачности и взаимодействия с сообществом». Примечательно, что саммит был закрыт для журналистов, что подчёркивает его техническую направленность.

Ключевой причиной июльского инцидента стал привилегированный доступ антивирусного ПО к ядру Windows — критическому компоненту ОС. Этот механизм, позволяющий антивирусам эффективно отслеживать вредоносные изменения в глубинах системы, одновременно представляет потенциальную угрозу для её стабильности. В случае с CrowdStrike сбой в механизмах валидации обновлений позволил проскочить ошибке, что привело к сбою Windows на компьютерах по всему миру.

Изначально Microsoft рассматривала возможность полного отзыва доступа к ядру для сторонних программ, что могло бы трансформировать Windows в более закрытую ОС, подобную Apple macOS. Однако по итогам саммита компания отказалась от столь радикальных мер. Вместо этого Microsoft сосредоточится на разработке новой платформы, предоставляющей расширенные возможности безопасности вне режима ядра, тем самым пойдя на встречу своим клиентам и партнёрам.

На саммите Microsoft и её партнёры детально обсудили технические аспекты создания новой платформы. Ключевыми темами стали обеспечение производительности вне режима ядра, разработка механизмов защиты от несанкционированного доступа для программ безопасности и определение требований к сенсорам безопасности для антивирусного мониторинга. Microsoft подчеркнула долгосрочный характер проекта по разработке нового уровня безопасности Windows в тесном сотрудничестве с партнёрами по экосистеме.

Microsoft выпустила обновление безопасности для операционных систем Windows. В этот раз компания закрыла 79 уязвимостей, большинство из которых относятся к категориям «критическая» и «высокий риск». По словам Microsoft, четыре уязвимости из этого списка уже эксплуатируются в реальных условиях, поэтому компания советует скачать обновление безопасности как можно скорее.

Источник изображения: geralt / Pixabay

Большинство уязвимостей (67) встречаются на разных версиях Windows, включая Windows 10, Windows 11 и Windows Server. Версии Windows 7 и 8.1 больше не отображаются в отчётах безопасности Microsoft, но они также потенциально могут быть подвержены риску. При отсутствии веских причин, всё же следует рассмотреть возможность обновления до Windows 10 (22H2) или Windows 11 (23H2), чтобы продолжать получать актуальные обновления безопасности, отмечает Microsoft. Правда, следует помнить, что поддержка Windows 10 прекратится в 2025 году.

Последний патч безопасности также включает некоторые обновления для Windows 11 24H2, однако указанное крупное обновление операционной системы, чей выпуск ожидается этой осенью, по-прежнему проходит тестирование в рамках программы Windows Insider и пока недоступно для всех пользователей Windows 11.

Закрытые уязвимости нулевого дня

Как уже отмечалось выше, несколько уязвимостей безопасности уже эксплуатируются в реальных атаках. На данный момент идут споры о том, активно ли применяется одна из них, а именно CVE-2024-43461. Microsoft не предоставила дополнительную информацию об этих уязвимостях нулевого дня в своём последнем отчёте безопасности, однако о них рассказал эксперт по кибербезопасности Дастин Чайлдс (Dustin Childs) в блоге Zero Day Initiative. Чайлдс утверждает, что специалисты нашли уязвимость, позволяющую использовать поддельные данные. Об этом они сообщили в Microsoft, однако компания не включила её в список уязвимостей, которые используются в реальных условиях.

Ниже в таблице отмечены самые опасные уязвимости безопасности в отчёте Patch Day от Microsoft за сентябрь 2024 года. Примечание: RCE: Remote Code Execution — удалённое выполнение кода; EoP: Elevation of Privilege — повышение привилегий доступа; SFB: Security Feature Bypass — обход функций безопасности. Красным в таблице отмечены уязвимости, которые уже эксплуатируются в реальных условиях.

По словам Microsoft, уязвимость CVE-2024-38217 (обход функций безопасности) не только эксплуатируется, но и была известна заранее. Эта уязвимость затрагивает функцию Mark of the Web (MotW) в загруженных файлах, что позволяет обходить защитные механизмы.

Что касается CVE-2024-43491, то это единственная уязвимость, связанная с удалённым выполнением кода (RCE) среди четырех уязвимостей нулевого дня. Она влияет только на некоторые старые версии Windows 10 и может быть устранена только путём установки обновления KB5043936, а затем установки обновления KB5043083. Microsoft заявляет, что более новые версии Windows 10 не подвержены этой уязвимости.

Уязвимость CVE-2024-38014 (угроза повышения привилегий, EoP) существует в установщике Windows для всех поддерживаемых в настоящее время версий Windows, включая серверные выпуски. Злоумышленник используя эту уязвимость, может получить системные разрешения без взаимодействия с пользователем. Точный механизм неясен, но обычно злоумышленники объединяют уязвимости EoP с уязвимостями RCE для удаленного запуска вредоносного кода.

Другие критические уязвимости Windows

В отчёте также указаны несколько критических уязвимостей, одна из которых связана c Windows. Эти уязвимости пока не эксплуатировались в реальных условиях. RCE-уязвимость CVE-2024-38119 связана с функцией Network Address Translation (NAT) и требует, чтобы злоумышленник находился в той же сети, что и жертва. Это связано с тем, что NAT, как правило, не поддерживает маршрутизацию, что означает, что её нельзя эксплуатировать за пределами границы сети.

С Windows Remote Desktop Services связано семь уязвимостей, включая четыре уязвимости RCE (удалённое выполнение кода). Также в отчёте указаны по одной уязвимости в Microsoft Management Console (CVE-2024-38259) и Power Automate для десктопов (CVE-2024-43479).

Уязвимости Microsoft Office

Новый патч безопасности также исправляет 11 уязвимостей, связанных с продуктами Microsoft Office, включая одну уязвимость нулевого дня и две критические. Уязвимость обхода функций безопасности (CVE-2024-38226) была обнаружена неизвестным исследователем безопасности в Microsoft Publisher. Злоумышленники сразу же начали её эксплуатировать. Как сообщается, для этого злоумышленнику необходимо убедить пользователя открыть специально подготовленный файл в Publisher. В случае успеха макросы Office обходят правила и выполняется вредоносный код.

Microsoft также выделила две RCE-уязвимости в SharePoint Server (CVE-2024-38018, CVE-2024-43464), как «критические». Ещё одна RCE-уязвимость (CVE-2024-38227) в SharePoint Server и одна в Visio (CVE-2024-43463) отмечены, как «обладающие высоким риском».

Уязвимости SQL Server

В SQL Server было закрыто 13 проблем безопасности. Шесть из них относились к RCE-уязвимостям с рейтингом CVSS 8.8. Также компания закрыла три EoP-уязвимости и четыре утечки данных.

Обновления браузеров

Последнее обновление безопасности для браузера Microsoft Edge — версия 128.0.2739.63 от 3 сентября на основе Chromium 128.0.6613.120. Однако оно пока не появилось в отчёте по обновлению безопасности. Обновление Edge 128.0.2739.67 от 5 сентября исправляет только несколько ошибок. Google выпустила новое обновление безопасности Chrome 10 сентября. Оно закрывает несколько уязвимостей с высоким риском.

В WhatsApp обнаружена серьёзная уязвимость в функции конфиденциальности «Просмотр один раз». Согласно сообщению издания PCMag, баг в веб-версии мессенджера даёт возможность пользователям обходить ограничения и скачивать медиафайлы, отправленные с помощью этой функции.

Источник изображения: Grant Davies/Unsplash

Обычно при отправке фото или видео с помощью «Просмотра один раз» получатель может открыть его только через приложение WhatsApp на Android или iOS. Сохранение, пересылка или создание скриншотов при этом невозможны. При попытке открыть такое сообщение через веб-версию или десктопное приложение WhatsApp пользователь видит уведомление: «Вы получили фото для однократного просмотра. Для дополнительной конфиденциальности вы можете открыть его только на своём телефоне».

Однако, несмотря на заверения WhatsApp о дополнительной конфиденциальности, эта функция может быть легко взломана. Об этом заявил специалист по кибербезопасности Таль Беэри (Tal Be'ery), продемонстрировавший уязвимость в своём видео, записанном на macOS, и предоставившем результаты изданию TechCrunch. Суть недоработки заключается в том, что ссылка на медиафайл видна в коде страницы и может быть скопирована для последующего скачивания данных.

«Единственное, что может быть хуже отсутствия конфиденциальности, так это ложное чувство безопасности, когда пользователи верят в приватность определённых функций, хотя на самом никакой приватности нет, — заявил Беэри в своём отчёте. — В настоящее время функция "Просмотр один раз" в WhatsApp является примером несуществующей конфиденциальности и должна быть либо полностью исправлена, либо удалена».

Команда Беэри и издание TechCrunch уведомили компанию Meta✴ о проблеме. В ответ на запрос представитель Meta✴ заявил: «Мы уже работаем над обновлением функции "Просмотр один раз" в веб-версии и по-прежнему рекомендуем пользователям отправлять сообщения с ограниченным сроком действия только тем, кому они доверяют».

В конце января 2024 года Госдума в первом чтении приняла законопроект, который предполагает введение оборотных штрафов и уголовной ответственности для граждан, компаний и должностных лиц, допустивших утечку. По словам эксперта IT-права и кибербезопасности, управляющего RTM Group Евгения Царёва, вопрос защиты данных всегда был актуален. Но сегодня, когда своё внимание на него обратило ещё и государство, этот интерес будет только расти.

Однако, по мнению эксперта, не нужно переоценивать опасность от оборотных штрафов для коммерческих предприятий. «Российский бизнес функционирует в огромном поле неопределённости, на которое не может повлиять, а такой риск, как утечка данных, вполне реально обработать и снизить максимально. Вопрос в желании и/или необходимости. При этом нужно менять систему аккуратно и комплексно, — комментирует Евгений Царёв. — Например, инсайдер, который похитил базу работодателя, должен понести за это наказание. На противоправные действия сотрудников необходима адекватная реакция от правоохранительной и судебной систем. Вот так должны ставить вопрос организации перед властью, а не пытаться избежать штрафов».

В вопросах защиты данных между государством, бизнесом и гражданами необходим открытый диалог без резких изменений правил игры. При этом важной составляющей этой коммуникации должна стать двусторонняя обратная связь. Площадкой для такого диалога 24 октября 2024 года в конгресс-центре Soluxe (г. Москва) станет конференция «Сохранить всё: безопасность информации».

Организаторы ожидают более 1500 участников. В двух параллельных тематических потоках без фокуса на конкретных продуктах и маркетингового хайпа более 40 специалистов в сфере защиты данных объединятся для поиска ответов на злободневные вопросы информационной безопасности. Среди приглашённых спикеров — представители Минцифры, ФСТЭК России, Ассоциации больших данных, Ассоциации юристов России и других организаций, влияющих на сферу безопасности данных, эксперты ИБ-отрасли, а также опытные практики — CISO и CIO крупнейших компаний.

Таким образом, конференция станет масштабным пространством для дискуссий и агрегатором экспертизы по вопросам защиты данных.

Ознакомиться с информацией о конференции можно на сайте мероприятия saveall.garda.ai. Про приведённой ссылке также можно найти сведения о программе мероприятия и приглашённых спикерах, оставить заявку на участие и решить прочие организационные вопросы.

Специалисты по кибербезопасности из Израиля обнаружили новый способ кражи данных из изолированных компьютерных систем. Эти системы, используемые в таких важных структурах, как военные объекты, госучреждения и атомные электростанции, физически отрезаны от интернета для защиты от внешних угроз. Однако новая атака для перехватывания конфиденциальной информации, получившая название RAMBO, использует электромагнитное излучение, возникающее при работе RAM.

Источник изображения: Copilot

Несмотря на отсутствие прямого соединения с интернетом, пишет BleepingComputer, системы с воздушным зазором (Air-gapped) всё равно, как оказалось, подвержены компрометации. Злоумышленники могут внедрить вредоносное ПО через физические носители, например, USB-накопители, или воспользоваться более сложной цепочкой действий для установления связи с ПК. Вредоносное ПО, внедрённое в систему, может незаметно манипулировать компонентами оперативной памяти, генерируя контролируемые электромагнитные импульсы, передающие информацию с компьютеров.

Данные кодируются в радиочастотные сигналы, где «1» и «0» представляются как «включено» и «выключено». Для повышения надёжности передачи и снижения ошибок используется Манчестерский код, представляющий из себя абсолютное биимпульсное кодирование двоичным цифровым сигналом исходных двоичных данных. Хакер может перехватывать эти сигналы с помощью недорогих программных радиоприёмников (SDR) и декодировать их обратно в бинарный код. При этом скорость передачи данных при атаке RAMBO (Radiation of Air-gapped Memory Bus for Offense) невелика и достигает 1000 бит в секунду (bps), что эквивалентно 0,125 Кбайт/с. Однако, как отмечают исследователи, «этого достаточно для кражи небольших объёмов данных, таких как текст, нажатия клавиш и небольшие файлы». Например, для кражи пароля требуется от 0,1 до 1,28 секунды, а для 4096-битного зашифрованного ключа RSA — от 4 до 42 секунд.

Источник изображения: Arxiv.org

В свою очередь дальность передачи данных зависит от скорости передачи. На максимальной скорости (1000 бит в секунду) сигнал стабилен на расстоянии до 3 метров, но с увеличением расстояния растёт и вероятность ошибок. При снижении скорости до 500 бит в секунду и ниже дальность передачи может достигать 7 метров. Исследователи экспериментировали с более высокими скоростями, но обнаружили, что при скорости выше 5 Кбит/с сигнал становится слишком слабым и не способен надёжно передавать информацию. «Мы обнаружили, что скорость передачи данных не должна превышать 5000 бит в секунду, иначе сигнал становится слишком слабым и содержит много шумов», — сообщают авторы исследования.

В опубликованной научной работе предложены несколько способов защиты от атак RAMBO и других подобных методов. К ним относятся усиление физической защиты, подавление электромагнитных излучений, генерируемых оперативной памятью (RAM), внешняя радиочастотная помеха и использование экранирующих корпусов Фарадея для блокировки электромагнитного излучения. Исследователи также проверили эффективность атаки RAMBO на виртуальных машинах и обнаружили, что уязвимость работает даже в этой среде. Однако, взаимодействие оперативной памяти хост-системы с операционной системой и другими виртуальными машинами может привести к сбоям атаки. «Хотя мы показали, что атака RAMBO работает в виртуальных средах, взаимодействие с хост-системой может привести к её сбоям», — поясняют исследователи.

Архитектура Zen 5 компании AMD установила новые стандарты в мире процессоров, сочетая повышенную производительность и безопасность. Тесты Ryzen 9 9950X показали, что встроенная защита от уязвимости Inception не только устраняет необходимость в ресурсоёмких программных патчах, но и сохраняет свою производительность при активации других мер безопасности.

Источник изображения: AMD

Zen 5 проявила себя как архитектура, полностью невосприимчивая к уязвимости Inception без необходимости в исправлениях на уровне микрокода, операционной системы или приложений. Чтобы оценить реальное влияние различных мер безопасности на быстродействие, эксперты ресурса Phoronix провели тестирование процессора Ryzen 9 9950X на базе Zen 5 в среде Linux. Методология включала серию тестов с поочерёдным включением и отключением всех доступных программных средств защиты, что позволило создать полную картину производительности в различных сценариях безопасности.

Исследование Phoronix показало, что Zen 5 обладает встроенной аппаратной защитой от уязвимости Inception — спекулятивной атаки по побочным каналам, обнаруженной в 2023 году. Эта уязвимость, затрагивавшая процессоры на базе архитектур Zen 3 и Zen 4, позволяла злоумышленникам использовать механизмы спекулятивного исполнения для извлечения конфиденциальной информации из системной памяти. Потенциальная утечка привилегированных данных представляла серьёзную угрозу безопасности, что делало разработку эффективной защиты критически важной задачей для AMD.

В отличие от своих предшественников, процессоры на Zen 5 не нуждаются в ресурсоёмких программных патчах для противодействия этой уязвимости. Разница особенно заметна при сравнении с Zen 3: активация программных мер защиты от Inception на этой архитектуре могла привести к значительному падению производительности — до 54 % на определённых рабочих нагрузках.

Cравнительный анализ производительности процессоров AMD Zen 5 с включёнными и отключёнными мерами безопасности (источник изображения: Phoronix, Tom’s Hardware)

Парадоксально, но архитектуры предыдущих поколений AMD — Zen 1, Zen+ и Zen 2 — оказались невосприимчивыми к Inception. Этот примечательный факт объясняется особенностями реализации блока прогнозирования ветвлений в данных архитектурах. Их относительная «простота» неожиданно обернулась преимуществом, показав, что иногда менее агрессивные методы оптимизации могут оказаться более устойчивыми к определённым видам атак.

Несмотря на внедрение аппаратной защиты от Inception, процессоры на архитектуре Zen 5 всё ещё полагаются на программные меры для борьбы с другими уязвимостями, включая печально известную Spectre V1. Однако результаты тестов поражают: активация этих мер практически не влияет на производительность Zen 5. Это неожиданное открытие противоречит распространённому мнению о том, что любые дополнительные меры безопасности неизбежно снижают производительность процессора.