Основы Интернет - технологий.

Проблема SSID Confusion

Об­наруже­на уяз­вимость, свя­зан­ная с конс­трук­тивны­ми недос­татка­ми стан­дарта Wi-Fi IEEE 802.11. Проб­лема поз­воля­ет обма­ном вынудить жер­тву под­клю­чить­ся к менее защищен­ной бес­про­вод­ной сети и прос­лушивать сетевой тра­фик поль­зовате­ля.

Баг получил наз­вание SSID Confusion и иден­тифика­тор CVE-2023-52424. Он зат­рагива­ет все опе­раци­онные сис­темы и Wi-Fi-кли­енты, вклю­чая домаш­ние и mesh-сети, осно­ван­ные на про­токо­лах WEP, WPA3, 802.11X/EAP и AMPE.

Суть ата­ки зак­люча­ется в том, что­бы «вынудить жер­тву осу­щес­твить даун­грейд и перек­лючить­ся на менее защищен­ную сеть, под­менив имя доверен­ной сети (SSID), что­бы перех­ватить тра­фик или осу­щес­твить даль­нейшие ата­ки», — говорит­ся в док­ладе ком­пании Top10VPN, соз­данном в сот­рудни­чес­тве с про­фес­сором и извес­тным ИБ‑иссле­дова­телем из Лёвен­ско­го католи­чес­кого уни­вер­ситета Мэти Ван­хофом (Mathy Vanhoef).

«Так­же успешная ата­ка SSID Confusion зас­тавля­ет любой VPN с фун­кци­ей авто­мати­чес­кого отклю­чения в доверен­ных сетях отклю­чить­ся, оставляя тра­фик жер­твы незащи­щен­ным», — добав­ляют экспер­ты.

Проб­лема, лежащая в осно­ве этой ата­ки, сос­тоит в том, что стан­дарт Wi-Fi не тре­бует, что­бы SSID всег­да про­ходил аутен­тифика­цию, это обя­затель­но лишь тог­да, ког­да устрой­ство при­соеди­няет­ся к опре­делен­ной сети. В резуль­тате зло­умыш­ленник может обма­ном зас­тавить поль­зовате­ля под­клю­чить­ся к недове­рен­ной сети Wi-Fi, а не к той, к которой тот собирал­ся под­клю­чить­ся изна­чаль­но, осу­щес­твив ата­ку типа «про­тив­ник посере­дине» (adversary in the middle, AitM).

«В нашей ата­ке, ког­да жер­тва хочет под­клю­чить­ся к сети TrustedNet, мы обма­ном вынуж­даем ее под­клю­чить­ся к дру­гой сети — WrongNet, которая исполь­зует ана­логич­ные учет­ные дан­ные, — рас­ска­зали иссле­дова­тели. — В резуль­тате кли­ент жер­твы будет думать и показы­вать поль­зовате­лю, что тот под­клю­чен к TrustedNet, хотя на самом деле он под­клю­чен к WrongNet».

Дру­гими сло­вами, даже если пароли и дру­гие учет­ные дан­ные про­ходят вза­имную верифи­кацию при под­клю­чении к защищен­ной сети Wi-Fi, нет никакой гаран­тии того, что поль­зователь под­клю­чил­ся имен­но к той сети, к которой собирал­ся.

Для реали­зации ата­ки SSID Confusion дол­жны быть соб­людены сле­дующие усло­вия:

• жер­тва собира­ется под­клю­чить­ся к доверен­ной сети Wi-Fi;
  


• жер­тве дос­тупна мошен­ничес­кая сеть с теми же учет­ными дан­ными для аутен­тифика­ции, что и нас­тоящая;
  


• зло­умыш­ленник находит­ся в положе­нии, поз­воля­ющем осу­щес­твить AitM-ата­ку меж­ду жер­твой и доверен­ной сетью.
  

Для защиты от SSID Confusion иссле­дова­тели пред­лага­ют обно­вить стан­дарт Wi-Fi 802.11, вклю­чив SSID в четырех­сто­рон­ний хен­дшейк, который исполь­зует­ся при под­клю­чении к защищен­ным сетям, а так­же усо­вер­шенс­тво­вать защиту маяков (beacon), что­бы «кли­ент мог хра­нить эта­лон­ный маяк, содер­жащий SSID сети, и про­верять его под­линность во вре­мя четырех­сто­рон­него хен­дшей­ка».

Ма­яки пред­став­ляют собой управля­ющие фрей­мы, которые пери­оди­чес­ки посыла­ют точ­ки бес­про­вод­ного дос­тупа, что­бы сооб­щить о сво­ем при­сутс­твии. В них содер­жится информа­ция об SSID, воз­можнос­тях сети и так далее.

«Сети могут защитить­ся от такой ата­ки, избе­гая пов­торно­го исполь­зования учет­ных дан­ных в раз­ных SSID, — добав­ляют иссле­дова­тели. — В кор­поратив­ных сетях сле­дует исполь­зовать отдель­ные CommonNames сер­вера RADIUS, а в домаш­них сетях — уни­каль­ный пароль для каж­дого SSID».

Мэтт Лин­тон (Matt Linton), воз­глав­ляющий под­разде­ление Google по реаги­рова­нию на угро­зы и управле­нию инци­ден­тами, опуб­ликовал в бло­ге сооб­щение, в котором рас­ска­зал, что в текущем виде фишин­говые про­вер­ки и уче­ния лишь зас­тавля­ют его кол­лег ненави­деть ИТ‑коман­ды, но не при­носят никакой поль­зы.

По его сло­вам, «нет никаких доказа­тель­ств, что эти про­вер­ки вооб­ще при­водят к умень­шению количес­тва успешных фишин­говых кам­паний». Лишь уве­личи­вает­ся наг­рузка на спе­циалис­тов по реаги­рова­нию на инци­ден­ты и тех, кому поруче­но обра­баты­вать отче­ты, а сот­рудни­ки чувс­тву­ют себя обма­нуты­ми.

«Обу­чение сот­рудни­ков тому, как опо­вещать служ­бы безопас­ности о готовя­щих­ся ата­ках, по‑преж­нему явля­ется цен­ным и важ­ным допол­нени­ем к ком­плексной сис­теме безопас­ности. Одна­ко не нуж­но прев­ращать это в про­тивос­тояние. Мы ничего не выиг­раем, если будем „ловить“ людей, которые не справ­ляют­ся с этой задачей.

Да­вай­те перес­танем занимать­ся ста­рыми и нерабо­тающи­ми средс­тва­ми защиты и пос­леду­ем при­меру более зре­лых отраслей, таких как пожар­ная безопас­ность, которые уже стал­кивались с подоб­ными проб­лемами и вырабо­тали сба­лан­сирован­ный под­ход.

Фи­шинг и соци­аль­ная инже­нерия не исчезнут как методы атак. До тех пор пока люди будут оста­вать­ся нес­табиль­ными и соци­аль­ными сущес­тва­ми, у зло­умыш­ленни­ков будут спо­собы манипу­лиро­вать челове­чес­ким фак­тором.

Бо­лее эффектив­ным под­ходом к рис­кам будет целенап­равлен­ное стрем­ление к соз­данию сис­тем, защищен­ных по умол­чанию в дол­госроч­ной пер­спек­тиве. А так­же инвести­ции в инже­нер­ные средс­тва защиты, вклю­чая учет­ные дан­ные, не под­дающиеся фишин­гу (такие как passkey), и внед­рение мно­гос­торон­него под­твержде­ния для важ­ных аспектов безопас­ности в про­изводс­твен­ных сис­темах. Счи­тает­ся, что имен­но бла­года­ря инвести­циям в подоб­ные архи­тек­турные средс­тва защиты Google уже поч­ти десять лет не при­ходит­ся всерь­ез бес­поко­ить­ся о фишин­ге паролей»,

 — пишет Лин­тон.

У пожар­ных он пред­лага­ет перенять опыт про­веде­ния уче­ний, ког­да про­вер­ка про­водит­ся не тай­но, а факт ее про­веде­ния всем оче­виден (к при­меру, в жилых домах и офис­ных зда­ниях заранее рас­кле­ивают информа­цион­ные пла­каты). То есть фишин­говые уче­ния дол­жны пря­мо сооб­щать, что это про­вер­ка, а так­же информи­ровать учас­тву­ющих в ней людей о пре­иму­щес­твах.

Android против воров

Google анон­сирова­ла ряд новых фун­кций для Android, которые приз­ваны защитить устрой­ства от кра­жи и потери дан­ных. Некото­рые из них будут дос­тупны толь­ко для устрой­ств на базе Android 15 и выше, но дру­гие пла­ниру­ется рас­простра­нить на мил­лиар­ды устрой­ств под управле­нием Android 10 и более ста­рых вер­сий.

Что­бы защитить лич­ные и кон­фиден­циаль­ные дан­ные поль­зовате­лей в слу­чае кра­жи или потери устрой­ства, новая авто­мати­чес­кая бло­киров­ка экра­на на осно­ве ИИ и аксе­леро­мет­ров, получив­шая наз­вание Theft Detection Lock, заб­локиру­ет экран, если обна­ружит рез­кое дви­жение, свя­зан­ное с попыт­кой кра­жи (нап­ример, ког­да воры вых­ватыва­ют устрой­ство из рук вла­дель­ца).

Что­бы воры не смог­ли получить дос­туп к кон­фиден­циаль­ным дан­ным и при­ложе­ниям, еще одна новая фун­кция, Offline Device Lock, авто­мати­чес­ки бло­киру­ет устрой­ство сра­зу пос­ле того, как вор отклю­чит его от сети, или если сис­тема заметит мно­го неудач­ных попыток аутен­тифика­ции.

Так­же Google анон­сирова­ла фун­кцию Remote Lock, которая поможет людям, чьи устрой­ства на базе Android уже были укра­дены. Remote Lock поз­воля­ет уда­лен­но заб­локиро­вать смар­тфон или план­шет, исполь­зуя толь­ко номер телефо­на и прос­тую защит­ную задачу.

«Это даст вам вре­мя на вос­ста­нов­ление учет­ных дан­ных, а так­же дос­туп к допол­нитель­ным полез­ным опци­ям Find My Device, вклю­чая отправ­ку коман­ды пол­ного сбро­са к завод­ским нас­трой­кам, что­бы пол­ностью очис­тить устрой­ство», — объ­ясня­ет вице‑пре­зидент Google Сюзан­на Фрей (Suzanne Frey).

Ожи­дает­ся, что фун­кции Theft Detection Lock, Offline Device Lock и Remote Lock будут дос­тупны на устрой­ствах под управле­нием Android 10 или выше через обновле­ние сер­висов Google Play, которое появит­ся поз­же в текущем году.

Кро­ме того, новый Android 15 так­же получит усо­вер­шенс­тво­ван­ную защиту от сбро­са до завод­ских нас­тро­ек, что сде­лает про­дажу укра­ден­ных устрой­ств очень слож­ной задачей, пос­коль­ку в про­цес­се их нас­трой­ки пот­ребу­ется ввес­ти учет­ные дан­ные от акка­унта Google.

«Бла­года­ря это­му обновле­нию, если вор при­нуди­тель­но сбро­сит нас­трой­ки укра­ден­ного устрой­ства, он не смо­жет нас­тро­ить его заново, не зная учет­ных дан­ных устрой­ства или акка­унта Google. Таким обра­зом, укра­ден­ное устрой­ство ста­нет неп­ригод­ным для про­дажи, что умень­шит прив­лекатель­ность кра­жи телефо­нов», — добав­ляет Фрей.

Так­же обновлен­ный Android пот­ребу­ет вво­да PIN-кода, пароля или биомет­ричес­кой аутен­тифика­ции при попыт­ке получить дос­туп или изме­нить важ­ные нас­трой­ки акка­унта Google и устрой­ства из недове­рен­ного мес­та (нап­ример, при попыт­ке изме­нения PIN-кода, дос­тупа к Passkeys или отклю­чения защиты от кра­жи).

Ана­логич­но для отклю­чения фун­кции Find My Device или прод­ления тайм‑аута экра­на устрой­ства тоже пот­ребу­ется ввес­ти PIN-код, пароль или исполь­зовать какую‑либо фор­му биомет­ричес­кой аутен­тифика­ции. Это дол­жно добавить допол­нитель­ный уро­вень защиты, приз­ванный помешать зло­умыш­ленни­кам, укравшим устрой­ство, сох­ранить его «раз­бло­киро­ван­ным или не отсле­жива­емым в интерне­те».

Ожи­дает­ся, что в новой вер­сии Android этой осенью так­же появят­ся прос­транс­тва Private Space, которые мож­но будет заб­локиро­вать с помощью PIN-кода и пре­дот­вра­тить дос­туп воров к кон­фиден­циаль­ным дан­ным, хра­нящим­ся в опре­делен­ных при­ложе­ниях (нап­ример, к медицин­ской и финан­совой информа­ции).

• Ком­пания Google опуб­ликова­ла еже­год­ный отчет о проз­рачнос­ти за вто­рую полови­ну 2023 года. В общей слож­ности ком­пания получи­ла 43 554 зап­роса по все­му миру в пери­од с июля по декабрь прош­лого года. Из них 25 925 зап­росов на уда­ление кон­тента исхо­дили из Рос­сии.
  


• 
  25 607 зап­росов пос­тупило от Рос­комнад­зора, еще 16 были рас­поряже­ниями суда, нап­равлен­ными в адрес Google, и 290 — рас­поряже­ния суда в адрес треть­ей сто­роны.
  


• Сре­ди при­чин зап­росов лидиро­вали наци­ональ­ная безопас­ность (10 704 зап­роса), автор­ские пра­ва (7471) и кон­тент, свя­зан­ный с нар­котика­ми (1691).
  

Завершается поддержка NTLM

Ком­пания Microsoft под­твер­дила свои пла­ны отка­зать­ся от NT LAN Manager (NTLM). В Windows 11 отказ зап­ланиро­ван уже на вто­рую полови­ну текуще­го года. Так­же ком­пания анон­сирова­ла ряд новых защит­ных мер, нап­равлен­ных на уси­ление безопас­ности ОС.

На­пом­ним, что Microsoft впер­вые за­яви­ла о сво­ем решении отка­зать­ся от NTLM в поль­зу Kerberos в октябре 2023 года.

Де­ло в том, что NTLM пред­став­ляет собой соз­данное еще в девянос­тых семей­ство про­токо­лов, которые исполь­зуют­ся для аутен­тифика­ции уда­лен­ных поль­зовате­лей и обес­печения безопас­ности сеан­сов. Kerberos — про­токол аутен­тифика­ции, мно­го лет назад при­шед­ший на сме­ну NTLM, — теперь явля­ется про­токо­лом аутен­тифика­ции по умол­чанию во всех вер­сиях Windows новее Windows 2000. Одна­ко NTLM тоже при­меня­ется по сей день, и, если по какой‑либо при­чине работа Kerberos невоз­можна, вмес­то него будет исполь­зован NTLM.

При этом раз­личные NTLM-ата­ки — боль­шая проб­лема, с которой Microsoft ста­рает­ся бо­роть­ся, но NTLM по‑преж­нему час­то исполь­зует­ся на сер­верах Windows, что поз­воля­ет хакерам успешно экс­плу­ати­ровать такие уяз­вимос­ти, как ShadowCoerce, PetitPotam, RemotePotato0.

С 2010 года Microsoft при­зыва­ет раз­работ­чиков отка­зать­ся от NTLM в сво­их при­ложе­ниях и совету­ет адми­нис­тра­торам либо отклю­чать NTLM вов­се, либо нас­тра­ивать свои сер­веры для бло­киров­ки атак NTLM relay с помощью Active Directory Certificate Services (AD CS).

«Отказ от NTLM был боль­шой прось­бой со сто­роны ИБ‑сооб­щес­тва, пос­коль­ку это поз­волит уси­лить аутен­тифика­цию поль­зовате­лей. Отказ от NTLM зап­ланиро­ван на вто­рую полови­ну 2024 года», — заяви­ли теперь в ком­пании.

Сре­ди дру­гих изме­нений в Windows 11 мож­но отме­тить:

• акти­вацию защиты Local Security Authority (LSA) по умол­чанию для всех новых пот­ребитель­ских устрой­ств;
  


• исполь­зование безопас­ности на осно­ве вир­туали­зации (VBS) для защиты Windows Hello;
  


• сис­тему Smart App Control, защища­ющую поль­зовате­лей от запус­ка недове­рен­ных или непод­писан­ных при­ложе­ний, которую теперь оснастят ИИ, и он поможет опре­делять безопас­ность при­ложе­ний и бло­киро­вать неиз­вес­тные или содер­жащие вре­донос­ное ПО;
  


• допол­нение к Smart App Control — новое ком­плексное решение Trusted Signing, поз­воля­ющее раз­работ­чикам под­писывать свои при­ложе­ния и в целом упро­щающее про­цесс под­писания.
  

В этом месяце Microsoft рас­ска­зала и о дру­гих улуч­шени­ях в области безопас­ности. Нап­ример, изо­ляции при­ложе­ний Win32, которая приз­вана пре­дот­вра­тить рис­ки на слу­чай ком­про­мета­ции при­ложе­ния и соз­дать барь­ер меж­ду при­ложе­нием и ОС.

Так­же сооб­щает­ся, что будут огра­ниче­ны зло­упот­ребле­ния при­виле­гиями адми­нис­тра­тора, так как у поль­зовате­лей ста­нут зап­рашивать для это­го явное раз­решение. Появят­ся и VBS-анкла­вы для сто­рон­них раз­работ­чиков, пред­назна­чен­ные для соз­дания доверен­ных сред выпол­нения.

Кро­ме того, в будущем режимом печати по умол­чанию ста­нет Windows Protected Print Mode (WPP), который был пред­став­лен в декаб­ре 2023 года. Он будет исполь­зовать­ся для борь­бы с рис­ками, которые соз­дает при­виле­гиро­ван­ный про­цесс Spooler, а так­же для защиты сте­ка печати.

Идея зак­люча­ется в том, что­бы запус­кать Print Spooler как огра­ничен­ную служ­бу и рез­ко сни­зить его прив­лекатель­ность для зло­умыш­ленни­ков, которые за­час­тую зло­упот­ребля­ют им для получе­ния повышен­ных при­виле­гий в Windows.

Так­же сооб­щает­ся, что ком­пания перес­танет доверять аутен­тифика­цион­ным TLS-сер­тифика­там сер­веров с клю­чами RSA менее 2048 бит из‑за «прог­ресса в вычис­литель­ной мощ­ности и крип­тоана­лизе».

За­вер­шает спи­сок новых фун­кций сис­тема Zero Trust Domain Name System (ZTDNS), которая приз­вана помочь ком­мерчес­ким кли­ентам изо­лиро­вать Windows в сво­их сетях, огра­ничи­вая устрой­ства под управле­нием ОС под­клю­чени­ем толь­ко к утвер­жден­ным адре­сам по домен­ному име­ни.

• Ана­лити­ки иссле­дова­тель­ско­го цен­тра Pew Research Center замети­ли, что фра­за «интернет все пом­нит» не сов­сем соот­ветс­тву­ет дей­стви­тель­нос­ти. Так, по сос­тоянию на октябрь 2023 года чет­верть всех веб‑стра­ниц, сущес­тво­вав­ших в пери­од с 2013 по 2023 год, уже была недос­тупна.
  


• Око­ло 38% веб‑стра­ниц, активных в 2013 году, тоже уже не сущес­тву­ют, а c 2023 года из сети исчезли поряд­ка 8% веб‑стра­ниц.
  

• Ис­сле­дова­тели под­счи­тали, что 23% новос­тных веб‑стра­ниц содер­жат хотя бы одну нерабо­тающую ссыл­ку, а для пра­витель­ствен­ных сай­тов это чис­ло оставля­ет 21%.
  


• Ху­же того, боль­ше полови­ны (54%) стра­ниц Wikipedia так­же содер­жат хотя бы одну несущес­тву­ющую ссыл­ку. Сум­марно око­ло 11% от всех ссы­лок в Википе­дии более не дос­тупны.
  


• Си­туация в соци­аль­ных сетях не луч­ше. Так, в соци­аль­ной сети X (быв­ший Twitter) поч­ти каж­дый пятый твит про­пада­ет через нес­коль­ко месяцев пос­ле пуб­ликации.
  


• В 60% слу­чаев это свя­зано с тем, что учет­ная запись, раз­местив­шая сооб­щение, была зак­рыта, заб­локиро­вана или пол­ностью уда­лена. В осталь­ных 40% слу­чаев вла­делец акка­унта сам уда­ляет свой твит.
  

Деанон LockBitSupp?

ФБР, Наци­ональ­ное агентство по борь­бе с прес­тупностью Великоб­ритании (NCA) и Евро­пол опуб­ликова­ли мас­штаб­ные обви­нения и вве­ли сан­кции про­тив 31-лет­него граж­данина Рос­сии Дмит­рия Юрь­еви­ча Хороше­ва. Пра­воох­раните­ли утвер­жда­ют, что имен­но он скры­вает­ся за никами LockBitSupp и putinkrab, явля­ясь адми­нис­тра­тором и раз­работ­чиком вымога­тель­ской груп­пиров­ки LockBit.

Сог­ласно обви­нитель­ному зак­лючению Минис­терс­тва юсти­ции США и сооб­щению NCA, Дмит­рий Хорошев живет в Вороне­же и он лич­но «зарабо­тал» на вымога­тель­ских опе­раци­ях LockBit око­ло 100 мил­лионов дол­ларов США (при­мер­но пятая часть всех выкупов, получен­ных груп­пой).

«Хорошев, он же LockBitSupp, проц­ветал в усло­виях ано­ним­ности и даже пред­лагал наг­раду в раз­мере 10 мил­лион­нов дол­ларов любому, кто смо­жет рас­крыть его лич­ность. Теперь же он под­пада­ет под сан­кции в виде замора­жива­ния акти­вов и зап­рета на поез­дки», — заяви­ло NCA.

Пред­полага­ется, что сан­кции при­ведут к серь­езным перебо­ям в работе вымога­телей, пос­коль­ку теперь вып­латы выкупов будут нарушать зап­реты влас­тей, а зна­чит, пос­тра­дав­шие ком­пании могут стол­кнуть­ся с круп­ными штра­фами. Нап­ример, в прош­лом подоб­ные меры при­води­ли к тому, что некото­рые ком­пании, ведущие с вымога­теля­ми перего­воры о выкупах, перес­тавали работать с груп­пиров­ками, попав­шими под сан­кции.

Так­же теперь аме­рикан­ские влас­ти пред­лага­ют воз­награж­дение в раз­мере 10 мил­лионов дол­ларов за любую информа­цию, которая может при­вес­ти к арес­ту или осуж­дению LockBitSupp, в рам­ках прог­раммы Rewards for Justice.

По информа­ции иссле­дова­телей Vx-Underground, LockBitSupp заявил, что ФБР «бле­фует», пра­воох­раните­ли док­сят вов­се не его, а он «сочувс­тву­ет реаль­ному Димону».

«Не понимаю, зачем они устра­ивают это малень­кое шоу. Они явно расс­тро­ены тем, что мы про­дол­жаем работать», — заявил LockBitSupp.

На­пом­ним, что в фев­рале 2024 года пра­воох­раните­ли про­вели опе­рацию Cronos, в рам­ках которой они вывели из строя инфраструк­туру LockBit, вклю­чая 34 сер­вера, где раз­мещались сай­ты для сли­ва дан­ных и их зер­кала, укра­ден­ные у жертв фай­лы, крип­товалют­ные кошель­ки. Так­же сооб­щалось, что влас­ти получи­ли око­ло 1000 клю­чей для дешиф­рования дан­ных, пос­ле чего был вы­пущен инс­тру­мент для рас­шифров­ки и бес­плат­ного вос­ста­нов­ления фай­лов.

Те­перь пра­воох­раните­ли заяви­ли, что на самом деле в их руках ока­залось более 2500 клю­чей и они про­дол­жают ока­зывать помощь жер­твам LockBit в бес­плат­ном вос­ста­нов­лении дан­ных.

Кро­ме того, теперь, пос­ле изу­чения изъ­ятых в фев­рале дан­ных, NCA заяв­ляет, что LockBit вымога­ла более мил­лиар­да дол­ларов у тысяч ком­паний по все­му миру, а Минюст США сооб­щил, что Хорошев и его сооб­щни­ки получи­ли от сво­их жертв боль­ше 500 мил­лионов дол­ларов в виде выкупов.

Так, в пери­од с июня 2022 года по фев­раль 2024 года LockBit совер­шила свы­ше 7000 атак (боль­ше все­го инци­ден­тов было зафик­сирова­но в США, Великоб­ритании, Фран­ции, Гер­мании и Китае).

Груп­пиров­ка LockBit активна и сегод­ня, даже пос­ле недав­ней опе­рации пра­воох­раните­лей. Так, недав­но хакеры обна­родо­вали на сво­ем сай­те мно­жес­тво ста­рых и новых дан­ных о жер­твах. Одна­ко NCA утвер­жда­ет, что опе­рация Cronos при­вела к мас­совому сок­ращению количес­тва пар­тне­ров LockBit и в резуль­тате чис­ло активных чле­нов груп­пы сок­ратилось со 194 до 69 человек, пос­коль­ку хакеры утра­тили доверие к сво­ему руководс­тву.

• В 2023 году ком­пания Google заб­локиро­вала 2,28 мил­лиона при­ложе­ний в магази­не Google Play. Обна­ружен­ные в них наруше­ния пра­вил мог­ли угро­жать безопас­ности поль­зовате­лей.
  


• Так­же ком­пания выяви­ла и заб­локиро­вала 333 тысячи акка­унтов раз­работ­чиков, которые заг­ружали вре­донос­ное ПО, мошен­ничес­кие при­ложе­ния или неод­нократ­но наруша­ли пра­вила.
  


• Для срав­нения: в 2022 году Google заб­локиро­вала око­ло 1,5 мил­лиона опас­ных при­ложе­ний и при­оста­нови­ла активность 173 тысяч акка­унтов раз­работ­чиков за гру­бые наруше­ния.
  

Recall хуже кейлоггера

В этом месяце ком­пания Microsoft анон­сирова­ла новую ИИ‑фун­кцию в Windows 11. Фун­кция, получив­шая наз­вание Recall, фик­сиру­ет всю активность поль­зовате­ля компь­юте­ра, а затем поз­воля­ет фор­мировать отче­ты и выпол­нять поиск по исто­рии за пос­ледние три месяца. ИБ‑экспер­ты наз­вали Recall нас­тоящим кош­маром с точ­ки зре­ния кон­фиден­циаль­нос­ти и безопас­ности.

Фун­кция Recall была анон­сирова­на 20 мая 2024 года, в рам­ках мероп­риятия, пред­варя­юще­го ско­рый старт кон­ферен­ции Microsoft Build 2024.

В этом году ком­пания все­цело сос­редото­чена на искусс­твен­ном интеллек­те и Copilot, поэто­му одним из глав­ных анон­сов мероп­риятия ста­ли компь­юте­ры Copilot+ и фун­кция Recall, которая будет работать как раз на машинах Copilot+.

Recall соз­дана, что­бы помочь «вспом­нить» любую информа­цию, которую поль­зователь прос­матри­вал в прош­лом, и сде­лать ее дос­тупной с помощью прос­того поис­ка. Так, фун­кция дела­ет сни­мок активно­го окна каж­дые нес­коль­ко секунд, записы­вая все, что про­исхо­дит в Windows, будь то прос­мотр сай­тов в бра­узе­ре, обще­ние в мес­сен­дже­ре или работа с дру­гими при­ложе­ниями.

По умол­чанию дан­ные хра­нят­ся до трех месяцев (ста­рые скрин­шоты будут заменять­ся новыми), и поль­зователь смо­жет выбирать, в каких при­ложе­ниях мож­но делать сним­ки. Для работы Recall пот­ребу­ется HDD или SSD объ­емом не менее 256 Гбайт и как минимум 50 Гбайт сво­бод­ного мес­та.

По­лучен­ные сним­ки будут обра­баты­вать­ся ней­рон­ным про­цес­сором (Neural Processing Unit, NPU) устрой­ства и ИИ‑моделью, что­бы извлечь со скрин­шотов дан­ные. Затем информа­ция будет сох­ранена, и поль­зовате­ли Windows смо­гут как прос­матри­вать исто­рию скрин­шотов, так и искать по исто­рии с помощью зап­росов на род­ном язы­ке. В теории это поз­волит лег­ко най­ти, к при­меру, про­читан­ное в прош­лом месяце пись­мо или посещен­ный ког­да‑то сайт.

Пред­ста­вите­ли Microsoft под­чер­кну­ли, что все соб­ранные дан­ные шиф­руют­ся с помощью BitLocker, при­вязан­ного к учет­ной записи поль­зовате­ля в Windows, и не переда­ются дру­гим поль­зовате­лям на том же устрой­стве.

Как уже было упо­мяну­то выше, Recall будет работать толь­ко на компь­юте­рах Copilot+ (так­же встре­чает­ся написа­ние Copilot Plus), которые ком­пания тоже пред­ста­вила в этом месяце. Такие устрой­ства вско­ре будут пред­лагать Dell, Lenovo, Samsung, HP, Acer и Asus. Кро­ме того, Microsoft выпус­тит два собс­твен­ных устрой­ства, которые вой­дут в линей­ку Surface.

В Microsoft заяви­ли, что эти решения спо­соб­ны выпол­нять более 40 TOPS (трил­лионов опе­раций в секун­ду), будут осна­щать­ся ней­рон­ным про­цес­сором, работать на базе Snapdragon X и Snapdragon X Plus, а так­же получат не менее 16 Гбайт ОЗУ и 256 Гбайт SSD. В даль­нейшем таких устрой­ств ста­нет боль­ше бла­года­ря пар­тнерс­тву с Intel и AMD (начиная с Lunar Lake и Strix), а текущие экзем­пля­ры уже яко­бы пре­вос­ходят MacBook Air на базе M3 поч­ти на 58% по мно­гопо­точ­ной про­изво­дитель­нос­ти.

По­явле­ние Recall выз­вало шквал кри­тики со сто­роны как обыч­ных поль­зовате­лей, так и ИБ‑спе­циалис­тов. Хотя в сво­ем анон­се Microsoft под­черки­вает, что Recall раз­работа­на таким обра­зом, что­бы все дан­ные хра­нились толь­ко на устрой­стве поль­зовате­ля в зашиф­рован­ном виде, мно­гие полага­ют, что это соз­даст серь­езные рис­ки для кон­фиден­циаль­нос­ти и воз­никнет новый век­тор атак, нап­равлен­ных на кра­жу дан­ных.

«Recall — клю­чевая часть того, что дела­ет компь­юте­ры Copilot+ осо­бен­ными, и Microsoft с самого начала заложи­ла кон­фиден­циаль­ность в кон­цепцию Recall, — заяв­ляют раз­работ­чики. — На компь­юте­рах Copilot+ с про­цес­сором Snapdragon серии X вы уви­дите зна­чок Recall на панели задач пос­ле пер­вой акти­вации устрой­ства. С помощью это­го знач­ка мож­но открыть нас­трой­ки Recall и выб­рать, какие сним­ки Recall собира­ет и хра­нит на вашем устрой­стве. Вы смо­жете огра­ничить количес­тво собира­емых Recall сним­ков. Нап­ример, смо­жете выб­рать опре­делен­ные при­ложе­ния или сай­ты, посещен­ные в под­держи­ваемом бра­узе­ре, что­бы исклю­чить их из сво­их сним­ков. Кро­ме того, вы смо­жете при­оста­новить соз­дание сним­ков с помощью знач­ка Recall в сис­темном трее, очис­тить некото­рые или все сох­ранен­ные сним­ки, а так­же уда­лить все сним­ки со сво­его устрой­ства».

Кро­ме того, Microsoft заяви­ла, что Recall не будет соз­давать скрин­шоты окон в режиме InPrivate в Microsoft Edge (и дру­гих бра­узе­рах на базе Chromium), а так­же кон­тента, защищен­ного DRM. Одна­ко в ком­пании не уточ­нили, будут ли под­держи­вать­ся при­ват­ные режимы в дру­гих бра­узе­рах, нап­ример, в Firefox.

Сло­вом, Recall дол­жна быть «при­ват­ной, локаль­ной и безопас­ной» (то есть о переда­че дан­ных в обла­ко и на сер­веры Microsoft речи не идет), не будет исполь­зовать­ся для обу­чения каких‑либо моделей искусс­твен­ного интеллек­та, и поль­зователь смо­жет «пол­ностью кон­тро­лиро­вать ситу­ацию».

Сто­ит отме­тить, что Microsoft уже начала пре­дос­тавлять более под­робную тех­ничес­кую информа­цию о Recall, нап­ример о груп­повых полити­ках, которые мож­но исполь­зовать для отклю­чения фун­кции в мас­шта­бах ком­пании.

Од­нако все эти обе­щания не помог­ли успо­коить сооб­щес­тво. Фун­кцию кри­тику­ют прак­тичес­ки все, начиная от прос­тых поль­зовате­лей (дос­таточ­но почитать ком­мента­рии к любой пуб­ликации о Recall и убе­дить­ся, что поль­зовате­ли не доверя­ют заяв­лени­ям Microsoft) до Ило­на Мас­ка, который срав­нил анонс Recall с эпи­зодом сери­ала «Чер­ное зер­кало» и заявил, что сра­зу же отклю­чит эту фун­кци­ональ­ность.

Так­же Recall уже заин­тересо­валось бри­тан­ское агентство по защите дан­ных — Управле­ние комис­сара по информа­ции (ICO), которое обра­тилось к Microsoft с зап­росом, что­бы убе­дить­ся, что дан­ные людей дей­стви­тель­но будут защище­ны дол­жным обра­зом и не будут исполь­зованы самой ком­пани­ей.

«Мы ожи­даем, что орга­низа­ции будут проз­рачно информи­ровать сво­их поль­зовате­лей о том, как исполь­зуют­ся их дан­ные, и обра­баты­вать пер­сональ­ные дан­ные толь­ко в той мере, в какой это необ­ходимо для дос­тижения кон­крет­ной цели. Индус­трия дол­жна учи­тывать воп­росы защиты дан­ных с самого начала и тща­тель­но оце­нивать и смяг­чать рис­ки в отно­шении прав и сво­бод людей, преж­де чем выводить про­дук­ты на рынок, — говорит­ся в заяв­лении ICO. — Мы нап­равили зап­рос в Microsoft, что­бы понять, какие меры защиты кон­фиден­циаль­нос­ти поль­зовате­лей были пред­при­няты».

Но даже если пред­ста­вить, что Microsoft дей­стви­тель­но не получит дос­туп к дан­ным Recall, про­дукт все рав­но может нес­ти серь­езные рис­ки для безопас­ности и кон­фиден­циаль­нос­ти.

К при­меру, Microsoft приз­наёт, что фун­кция не выпол­няет модера­цию кон­тента, то есть будет прос­матри­вать бук­валь­но все, что «видит», вклю­чая пароли в пароль­ных менед­жерах и номера сче­тов на бан­ков­ских сай­тах. Дру­гой при­мер: если поль­зователь будет сос­тавлять в Word кон­фиден­циаль­ное сог­лашение, будет соз­дан скрин­шот и это­го докумен­та.

К тому же, если компь­ютер исполь­зует­ся нес­коль­кими людь­ми сов­мес­тно, при­дет­ся быть вни­матель­нее к прос­матри­ваемым фотог­рафи­ям и видео, пос­коль­ку они тоже будут записа­ны и сох­ранены Recall.

Хо­тя в нас­трой­ках поль­зователь смо­жет зап­ретить делать скрин­шоты кон­крет­ных при­ложе­ний, спе­циалис­ты опа­сают­ся, что боль­шинс­тво людей вооб­ще не ста­нут раз­бирать­ся в нас­трой­ках этой фун­кции. В ито­ге вся информа­ция будет хра­нить­ся в удоб­ном семан­тичес­ком индексе Windows 11 и будет дос­тупна для поис­ка всем, кто име­ет дос­туп к компь­юте­ру.

Ху­же того, если зло­умыш­ленни­ки или мал­варь ском­про­мети­руют устрой­ство поль­зовате­ля, все дан­ные Recall, защищен­ные BitLocker, будут рас­шифро­ваны, то есть ста­нут дос­тупны и для хакера.

Та­ким обра­зом, ата­кующие смо­гут поп­росту похитить базу дан­ных Recall и выг­рузить ее на собс­твен­ные сер­веры для пос­леду­юще­го ана­лиза. Затем получен­ная информа­ция может исполь­зовать­ся, нап­ример, для вымога­тель­ства или взло­ма учет­ных записей жертв, если учет­ные дан­ные попада­ли в поле зре­ния Recall.

Из­вес­тный ИБ‑эксперт Кевин Бомонт (Kevin Beaumont), неод­нократ­но выс­тупав­ший с откро­вен­ной кри­тикой в адрес Microsoft, выразил обес­поко­енность тем, что новая фун­кция соз­даст обширные воз­можнос­ти для атак, и срав­нил Recall «с кей­лог­гером, встро­енным в Windows».

«Если пос­мотреть на то, как исто­ричес­ки раз­вивались инфости­леры: они пос­тепен­но перехо­дили к авто­мати­чес­ким кра­жам паролей бра­узе­ров, хра­нящих­ся локаль­но, — пишет Бомонт. — Ины­ми сло­вами, если зло­умыш­ленник получа­ет дос­туп к сис­теме, он похища­ет важ­ные базы дан­ных, хра­нящи­еся локаль­но. Хакеры могут прос­то экс­тра­поли­ровать этот про­цесс, что­бы воровать еще и информа­цию, записан­ную фун­кци­ей Recall».

Хо­тя Бомонт пишет об инфости­лерах, проб­лема не толь­ко в них. Нап­ример, мал­варь, которая нацеле­на на пред­при­ятия (вро­де TrickBot), порой име­ет модули для кра­жи БД Active Directory домена, что­бы поз­же поис­кать там учет­ные дан­ные. Нич­то не помеша­ет таким вре­доно­сам при­менить ана­логич­ный под­ход и начать похищать БД Recall тоже.

• 
  Инс­тру­мент CCTV поз­воля­ет узнать мес­тополо­жение поль­зовате­лей Telegram
  


• 
  Microsoft не собира­ется исправ­лять проб­лему 0x80070643 в Windows
  


• 
  Proton Mail рас­крыл дан­ные поль­зовате­ля пра­воох­раните­лям
  


• 
  Экс‑сту­ден­тов МТИ обви­нили в хищении 25 мил­лионов дол­ларов в крип­товалю­те за 12 секунд
  


• 
  Груп­пиров­ка Muddling Meerkat исполь­зует «Великий китай­ский фай­рвол» для атак
  


• 
  Apple Wi-Fi Positioning System (WPS) мож­но исполь­зовать для мас­совой слеж­ки
  


• 
  Stack Overflow банит поль­зовате­лей, недоволь­ных пар­тнерс­твом ресур­са с OpenAI
  


• 
  Ук­радены дан­ные 49 мил­лионов кли­ентов Dell
  


• 
  YouTube перема­тыва­ет видео и отклю­чает звук для поль­зовате­лей бло­киров­щиков рек­ламы
  


• 
  Samsung тре­бует от ремон­тных мас­тер­ских делить­ся дан­ными о кли­ентах