Если документы или компьютерные программы засекречены, то они остаются засекреченными независимо от того, оказались ли они в публичном доступе, заявил пресс-секретарь президента США Шон Спайсер. ИТ-компаниям, считает он, следует обдумать юридические последствия получения материалов от WikiLeaks. Между тем, в организации WikiLeaks заявляют, что готовы предоставить компаниям информацию, необходимую для ликвидации уязвимостей, которые в ЦРУ использовали для взлома мобильных телефонов, компьютеров и других электронных устройств.

Заявления Спайсера вызвали негативную реакцию некоторых юристов и специалистов по компьютерной безопасности. Безответственна сама идея о том, что правительство готово помешать компаниям устранять уязвимости, о которых уже стало известно публике, считает юрист Американского союза гражданских свобод (ACLU). А в Фонде электронных рубежей (EFF) подчеркивают, что законы о доступе к секретным документам создавались без учета необходимости исправления программ и преследовать компании за то, что они намерены сделать программы безопаснее, было бы в корне неправильно.

В ИТ-компаниях (в том числе в Microsoft, Avira, Comodo и Bitdefender) утверждают, что WikiLeaks с ними еще не связывалась.

В компании IOActive провели проверку защищенности программного обеспечения около двух десятков роботов, в том числе промышленной машины Baxter, призванной оберегать людей от травм, робота-консьержа NAO и гуманоидного робота Pepper компании Softbank, предлагаемого для домашнего и корпоративного применения.

Результаты исследования удручают; среди обнаруженных проблем — отсутствие защиты данных при передаче, использование слабой криптографии, возможность удаленного доступа без авторизации, выдача приватной информации, слабые конфигурации, заданные по умолчанию, и использование уязвимых фреймворков с открытым кодом. При этом у всех проверенных роботов выявлено по нескольку из перечисленных недоработок.

Пораженные простотой взлома роботов, исследователи отмечают, что последствия могут быть губительными — к примеру, домашние машины под контролем злоумышленников помимо слежки за людьми могли бы отпирать двери, отключать сигнализации, портить вещи, устраивать пожары, травмировать людей и т. д., а промышленные, обычно гораздо более мощные, способны причинять еще больший вред.

Исследование указывает на то, что до сих пор производители роботов отдавали приоритет скорейшему выпуску на рынок перед обеспечением безопасности. Та же ситуация характерна для индустрии устройств Интернета вещей, из-за чего многие из них плохо защищены, отмечают авторы.

Сайт WikiLeaks опубликовал более 8,7 тыс. документов, полученных, как утверждается, в результате утечки информации из Центра киберразведки ЦРУ. Судя по этим документам, ведомство располагало информацией об уязвимостях нулевого дня, которые можно было использовать для взлома iPhone. Однако в Apple заявили, что в последней версии iOS многие из них устранены.

В документах, опубликованных WikiLeaks, нет подробных сведений о самих ошибках, и не указано, использовались ли они уже ЦРУ, так что неясно, как именно в Apple поняли, что соответствующие бреши закрыты.

Отметив, что на последнюю версию iOS перешли почти 80% пользователей, в компании сообщают, что согласно предварительному анализу, «многие проблемы, сведения о которых стали доступны в результате недавней утечки информации, в ней уже устранены». При этом в Apple намерены «продолжать работать над оперативным устранением любых обнаруживаемых уязвимостей».

Согласно документам, появившимся на WikiLeaks, в 2016 году в распоряжении ЦРУ еще были 24 эксплойта нулевого дня для Android, а также метод проведения атаки под названием Weeping Angel, которая позволяет через микрофоны телевизоров Samsung записывать разговоры и передавать на сервер ведомства. В самой Samsung сообщили, что «активно изучают данную проблему».

Недавно специалисты Google и голландского Центра математики и информатики на практике продемонстрировали ненадежность алгоритма криптографического хеширования SHA-1, создав два разных PDF-файла, для которых он выдает одинаковые хеш-значения. Через считанные часы после этого один из разработчиков браузерного движка WebKit решил убедиться, что продемонстрированная атака не может вызвать сбой одной из его функций, полагающихся на SHA-1. Для этого программист залил в репозиторий кода WebKit PDF-документы, вызывающие коллизию, после чего система начала выдавать ошибки, причем проблемы сохранились даже после после изъятия файлов из репозитория.

Исследователи планируют опубликовать код для генерации файлов разного содержания с идентичными хеш-значениями через месяц, так что позднее возможны новые инциденты; правда, для создания такой пары понадобятся гигантские вычислительные ресурсы — по словам специалистов Google, около года непрерывной работы 110 видеопроцессоров.

О ненадежности SHA-1 было известно давно, и вместо него предлагается пользоваться более защищенными алгоритмами, в частности, SHA-3. Линус Торвальдс, создатель Linux и системы управления версиями git, не видит необходимости отказываться от SHA-2, так как по его мнению, гораздо проще было бы предусмотреть средства распознавания атаки.

Группа исследователей, занимающихся вопросами безопасности, совершила первую практическую успешную атаку на хеш-функцию алгоритма SHA-1, получив два разных файла PDF с одной и той же сигнатурой SHA-1. Это показывает, что использование алгоритма SHA-1 в целях безопасности нужно прекратить как можно скорее.

SHA-1 (Secure Hash Algorithm 1) был разработан в 1995 году. В 2005 году его признали теоретически уязвимым. Национальный институт стандартов и технологий США запретил федеральным агентствам использование SHA-1 с 2010 года, а органам сертификации не разрешается выпускать цифровые сертификаты с подписью SHA-1 начиная с 1 января 2016 года (хотя для некоторых и сделано исключение).

Но несмотря на все усилия, направленные на выведение SHA-1 из оборота, алгоритм по-прежнему довольно широко используется при проверке транзакций кредитных карт, в электронных документах, для проставления подписей PGP/GPG в электронных письмах, в программных репозиториях с открытым кодом, а также при организации резервного копирования и обновлении программного обеспечения.

Хеш-функция SHA-1 выдает буквенно-цифровую строку, которая служит для зашифрованного представления файла или какого-то набора данных. Она называется дайджестом и может использоваться в качестве цифровой подписи. Предполагается, что строка эта уникальна и защищена от методов обратного инжиниринга.

При обнаружении в хеш-функции уязвимости с назначением двум файлам одного и того же дайджеста функция считается криптографически несостоятельной, поскольку созданные с ее помощью цифровые отпечатки пальцев можно подделать, а следовательно, доверять им уже нельзя. У атакующих появляется возможность, к примеру, создать программное обновление, которое будет принято и выполнено блоком, распознающим легитимность обновления путем проверки цифровых подписей.

По оценке специалистов по криптографии, проведенной в 2012 году, стоимость атаки на SHA-1 с использованием коммерческих облачных сервисов в 2015 году составила бы порядка 700 тыс. долл., а к 2018 году опустилась до 173 тыс. долл. Но в 2015 году группа исследователей из Центра математики и информатики в Нидерландах, Наньянского технологического университета в Сингапуре и французского Государственного института исследований в области информатики и автоматизации (INRIA) обнаружила новый способ взлома SHA-1, который намного снижает стоимость проведения атаки.

Голландские исследователи, используя вычислительную инфраструктуру из облака Google, провели атаку, достигнув практического результата. Но для этого понадобилось провести девять квинтиллионов вычислений хеш-функции SHA-1.

По оценкам Google, это один из наиболее масштабных расчетов, который когда-либо выполнялся. На компьютере с одним центральным процессором для его проведения понадобилось бы 6500 лет, а на машине с одним графическим процессором – 110 лет. При выполнении вычислений использовалась та же инфраструктура, которая обслуживает программу искусственного интеллекта Alphabet AlphaGo и сервисы Google Photo и Google Cloud.

Означает ли это, что теперь взлом SHA-1 подвластен большинству атакующих? Нет, но его определенно можно совершить, обладая ресурсами государства. Менее чем через три месяца исследователи планируют представить код, при помощи которого была проведена атака, чтобы с ним могли ознакомиться и другие.

В блоге Google говорится следующее: «Специалистам в области безопасности надо быстрее переходить на более защищенные хеш-функции SHA-256 и SHA-3. Чтобы предотвратить атаки подобного рода, мы добавили для пользователей Gmail и GSuite средства защиты, позволяющие обнаруживать технологию взлома PDF. Кроме того, к соответствующей системе распознавания будет открыт доступ всем желающим».

Начиная с версии 56 браузер Google Chrome считает все сертификаты HTTPS с подписью SHA-1 небезопасными. Аналогичные изменения планируют внести и разработчики других наиболее популярных браузеров.

«Надеюсь, что усилия Google побудят поставщиков услуг оперативно удалить SHA-1 из своих продуктов и конфигураций, – отметил старший консультант MWR InfoSecurity по вопросам безопасности Дэвид Чизмон. – Несмотря на слабость алгоритма некоторые поставщики по-прежнему предлагают продукты, не поддерживающие более современные хеш-функции, или взимают за такие услуги дополнительную плату. Вопрос лишь в том, произойдет ли это до того, как злоумышленникам удастся воспользоваться уязвимостью».

Более подробная информация о проведении атаки SHAttered опубликована на специально созданном для этих целей сайте и приведена в материалах исследования.

Исследование, проведенное специалистами компании Trend Micro, показало, что в компьютерных системах государственных учреждений, коммунальных и экстренных служб небольших городов США во многих случаях обнаруживается больше уязвимых принтеров, беспроводных точек доступа, веб-камер и прочих устройств, чем в аналогичных системах крупных городов. Например, в Хьюстоне исследователи нашли 3,9 млн уязвимых устройств, а в Нью-Йорке — лишь 1,03 млн, несмотря на то, что население Нью-Йорка почти в четыре раза больше, чем Хьюстона. По-видимому, в небольших городах властям не хватает ресурсов для обеспечения безопасности компьютерных систем.

Для обнаружения уязвимых устройств исследователи использовали поисковую систему Shodan. Ни один из городов, оказавшихся в десятке лидеров по числу уязвимых устройств, не относится к крупным, а в замыкающем десятку городе Грэнби (штат Массачусетс) проживает всего 6420 человек. В госучреждениях городов Лафайет (штат Луизиана) и Сент-Пол (штат Миннесота) уязвимых устройств нашлось больше, чем в Вашингтоне. Специалисты рекомендуют предприятиям и организациям тоже изучать свою инфраструктуру с помощью системы Shodan.

Исследователи из Амстердамского свободного университета разработали атаку, позволяющую обойти механизм рандомизации адресного пространства (ASLR), используемый в современных операционных системах для защиты от атак переполнения буфера. ASLR случайным образом варьирует размещение в памяти ключевых структур данных приложения, не позволяя атакующему выяснить адрес для размещения кода, выполняемого в результате выхода данных за границы буфера.

Атака пользуется присущими современным процессорам особенностями механизма кэширования данных. Как выяснилось, с помощью JavaScript можно получить указатели на области памяти, которые призван скрывать ASLR. По словам исследователей, поскольку корень проблемы — аппаратный, программными средствами защититься от нее нельзя, хотя можно усложнить совершение атаки. В частности, такая программная защита реализована при поддержке авторов исследования разработчиками браузерного движка WebKit, используемого в продуктах App.

Уязвимыми могут быть не только браузеры, но любые приложения, способные выполнять JavaScript, в частности, программы просмотра PDF-документов. Решение проблемы, как считают исследователи, потребует взаимодействия разработчиков процессоров, операционных систем и браузеров.

Хакерские группировки массово портят сайты на движке WordPress, админы которых не установили заплату для недавно устраненной критической уязвимости. Брешь, присутствовавшая в API платформы, позволяет модифицировать содержание любого поста или страницы на сайте. Дефект исправили в WordPress версии 4.7.2, вышедшей 26 января, но в компании раскрыли факт наличия бреши только неделю спустя, чтобы пользователи успели установить обновление.

Но когда о бреши стало известно, оказалось, что многие вебмастера не установили заплату — последовала гигантская волна атак. По данным Feedjit, количество страниц, подвергшихся вандализму, превысило 1,5 млн. Численность пострадавших сайтов — около 40 тыс.; на каждом может быть несколько испорченных страниц. При этом отмечено 20 различных стилей проведения атаки, по-видимому, соответствующих разным группировкам вандалов. Учитывая темпы роста количества испорченных страниц, в Feedjit высказывают предположение, что атакующие устроили своего рода соревнование по дефейсменту сайтов. Специалисты также отмечают, что хакеры нашли способ обойти правила блокировки атак, которые еще до появления заплаты были добавлены в межсетевых экранах для защиты от использования уязвимости.

Согласно январскому списку ошибок, опубликованному Intel в дополнение к документации по процессору Atom C2000, он имеет дефект, способный вызвать аварийное прекращение работы или сбой загрузки системы.

Одно время в Intel начали предлагать серию экономных процессоров Atom для серверов, продолжалось это недолго. Atom C2000, появившийся в 2013 году, — один из таких чипов. Его применяли в микросерверах, а Cisco воспользовалась им в сетевом оборудовании. Согласно бюллетеню о дефекте, опубликованному Cisco, со временем у процессора может наблюдаться деградация синхронизирующего сигнала, что приводит к неспособности им выполнять свои функции.

В Intel работают над исправлением ошибки. На сегодня есть обходное решение уровня системной платы, вносятся необходимые изменения в конструкцию процессора.

В Intel регулярно обнаруживают дефекты в своих процессорах и со временем устраняют. В чипах Skylake, например, была ошибка, из-за которой компьютер мог зависать при выполнении сложных рабочих задач.

От выпуска чипов Atom для серверов в Intel уже отказались — вместо них предлагаются процессоры Xeon-D и Xeon-E3. А линейка Atom сегодня переориентирована на дроны, роботов и устройства Интернета вещей.

Исследователь Лоран Гафье (PythonResponder в Twitter) опубликовал информацию об уязвимости в реализации протокола удаленного доступа к файлам SMB 3.0 в операционных системах Windows. Корпорация Microsoft, утверждает исследователь, уже три месяца откладывает выпуск исправления этой ошибки и собирается включить его только в ежемесячный «вторничный» пакет обновлений, выход которого запланирован на 14 февраля. Протокол SMB используется в Windows для доступа к сетевым дискам и принтерам и аутентификации пользователей для работы с ними.

Координационный центр CERT выпустил бюллетень с описанием уязвимости. Специалисты центра подтверждают возможность отказа систем Windows 10 и Windows 8.1. и их серверных вариантов (Windows Server 2016 и Windows Server 2012 R2) при подключении к SMB-серверу, отправляющему в ответ специально сконструированные пакеты данных. Пока неизвестно, может ли ошибка привести не только к отказу, но и исполнению произвольного кода, но вероятность этого существует. Единственным способом защиты пока является блокировка протокола SMB — либо полная, либо, по крайней мере, за пределами локальной сети.