Неприятную особенность ноутбуков Lenovo обнаружили пользователи, которые не поленились посмотреть в свойства SSL-сертификатов при установке защищённых соединений в браузере. Оказалось, что все сертификаты выданы некоей корпорацией Superfish Inc..
Подробное разбирательство вскоре показало, что проблема затрагивает все SSL-соединения в браузерах Internet Explorer и Chrome под Windows (браузер Firefox не доверяет сертификатам Windows, поэтому не подвержен этой атаке).
Superfish — это встроенная в ноутбуки троянская программа, расширение к браузеру, которое установил производитель. Как пояснила компания Lenovo, всё делается абсолютно законно и в соответствии с пользовательским соглашением.
Задача расширения Superfish — внедрять таргетированную рекламу в соответствии с пользовательскими интересами (Lenovo заключила соглашение с разработчиком этой программы). Установка Superfish производится перед продажей новых ноутбуков Lenovo как минимум с июня 2014 года.
Функции Superfish
Взлом защищённых соединений с помощью атаки MiTM
Отображение собственного фальшивого сертификата (SHA1, 1024-битный RSA) вместо настоящего
Отслеживание действий пользователя
Сбор персональной информации и загрузка её на удалённый сервер
Внедрение рекламы на посторонние веб-страницы
Отображение всплывающих окон с рекламой
Следует обратить внимание, что сертификат Superfish сгенерирован с использованием устаревших криптографических стандартов, так что он де-факто подрывает защиту всех SSL-соединений.
Что характерно, даже после удаления Superfish в системе остаётся её сертификат.
Троян устанавливается только на ноутбуки, которые идут в розничную продажу, но не по корпоративным заказам.
Такое поведение Lenovo удивило многих экспертов. Потребители привыкли доверять производителям оборудования и не ожидают от них подобных модификаций операционной системы. Что ожидать дальше, установки неудаляемых руткитов?
Хотя всё законно, но из-за поднявшегося скандала компания Lenovo приняла решение временно прекратить установку расширения Superfish на новые ноутбуки.
Несколько дней назад весь интернет облетела новость о том, что АНБ программным путём внедряет «закладки» в прошивки HDD. Эти зловреды называли чуть ли не «самыми сложными» среди всех вредоносных программ, обнаруженных к настоящему времени. Специалисты «Лаборатории Касперского» проследили связь авторов этого бэкдора и других модулей шпионского фреймворка Equation с авторами Stuxnet.
Но специалисты обращают внимание, что «закладки» в прошивке HDD — не такая уж и новость. Во-первых, этот инструмент из арсенала АНБ упоминается в документах Сноудена. Во-вторых, примеры таких программ как минимум год рассматриваются на хакерских конференциях.
Например, в марте 2014 года группа восьми исследователей из Eurecom (Франция), IBM Research (Швейцария) и Северо-Восточного университета (США) опубликовала работу “Implementation and Implications of
a Stealth Hard-Drive Backdoor”, которая почти в точности повторяет описание вредоносной программы из отчёта «Лаборатории Касперского».
Один из авторов работы — известный хакер Трэвис Гудспид (Travis Goodspeed), завсегдатай хакерских конференций. В своих выступлениях он часто рассказывал об эксплоите для прошивки HDD, который разработали они с коллегами. Сторонний код можно внедрить в прошивку даже не имея физического доступа к жёсткому диску. Если иметь такой доступ, то процедура значительно упростится.
«Программа может работать как бэкдор», — говорил Трэвис Гудспид. Именно такой возможностью воспользовалось АНБ.
Бэкдор способен незаметно перехватывать все операции считывания и записи на диск. В этом случае скорость работы HDD снижается примерно на 1%, что не должно быть заметно для пользователя, говорит Гудспид.
Для внедрения бэкдора в прошивку HDD не требуются какие-то секретные знания. Достаточно публично доступной информации. Трэвис Гудспид с коллегами по ходу дела успешно взломали около 15 моделей винчестеров от Seagate и Western Digital.
Центробанк России совместно с участниками рынка подготовил законопроект, усиливающий ответственность за кражу денег с карт и счетов банковских клиентов, пишет «Коммерсантъ». Об этом рассказал замначальника главного управления безопасности и защиты информации ЦБ Артём Сычев в ходе VII Уральского форума «Информационная безопасность банков». Документ с подготовленными поправками попал в распоряжение редакции.
Предусмотрено внесение ряда поправок в действующее законодательство и уголовный кодекс.
1. Уголовная ответственность не только за изготовление и сбыт скиммеров и вредоносных программ, но и за их использование и хранение. Например, под статью попадёт тот, кто заказывает скиммер в Китае, даже если он не успел им воспользоваться. Также статья грозит пользователю, скачавшему вредоносную программу из интернета и хранящему её на своём компьютере. За эти преступления предусмотрен штраф до 250 тыс. руб. или лишение свободы на срок до четырёх лет, а в случае крупного ущерба или при наличии сговора — до 600 тыс. руб. штрафа или шести лет лишения свободы.
2. Поправки в Уголовно-процессуальный кодекс, чтоб «местом окончания преступления» считалось место нахождения банка или его филиала, где открыт счёт. Таким образом, дело будет возбуждено по месту жительства пострадавшего, а не в удалённом регионе или в другой стране, где де-факто снимались деньги с банкомата по клонированной карточке. Это ускорит возбуждение дел и упростит следственный процесс.
3. Расширение прав банков, так что они смогут произвольно блокировать подозрительные транзакции по собственному усмотрению. «Каждый банк установит такие признаки сам, исходя из своего бизнеса, продуктов и профилей клиентов, и проверять эти условия ЦБ тоже не будет, это решено по итогам обсуждения с рынком», — пояснил Артём Сычев.
4. Внесение порядка возврата средств по потенциально мошенническим операциям в закон «О национальной платёжной системе». Если банк сочтет операцию несанкционированной, а деньги еще не успеют уйти со счёта, то банк приостановит перевод и заблокирует карту на три рабочих дня, уведомив об этом клиента, и отправит деньги лишь в том случае, если за это время клиент её не оспорит. Если деньги уже ушли со счета, предлагается запускать более громоздкий механизм — с использованием обмена информацией между банком-отправителем и банком-получателем платежа (сейчас он запрещён) с обязательным рассмотрением дела в суде.
Поправки должны существенно повысить раскрываемость дел, связанных с кардингом. Сейчас статистика плачевная: по данным Сбербанка, из 20 000 случаев скимминга довести до суда удалось всего 6 эпизодов.
В течение ближайших двух месяцев законопроект будут рассматривать юристы ЦБ, а затем его направят на согласование в МВД.
У инженера Мэтью Миллман (Matthew Millman) появилось много свободного времени — и он создал то, что называет «самым смешным из своих изделий». Это не-Arduino плата, работающая на легендарном процессоре Intel 8086.
Зачем он это сделал? Миллман говорит, что давно хотел поиграться с одноплатным компьютером в «старом стиле», да ещё с традиционной локальной шиной. В наши дни, говорит он, трудно найти маленький микроконтроллер с «честной» локальной шиной. У многих она есть, но по-настоящему не используется.
Поэтому в июле 2014 года инженер приступил к работе над проектом 8OD, взяв за основу Intel 8086. Плата, которая получилась в итоге, выглядит сложно, но на самом деле она довольно просто устроена.
Вообще, довольно интересно посмотреть, как сочетаются с собой процессор 37-летней давности и чипсет, сделанный двумя десятилетиями позже.
Проект Intercept опубликовал ещё десяток документов Сноудена. Они посвящены внедрению спецслужб в компьютерную сеть компании Gemalto, которая производит 2 млрд SIM-карт ежегодно. В результате операции американская разведка АНБ и британская GCHQ получили ключи, используемые для шифрования коммуникаций в сетях GSM. Фактически, это позволяло им прослушивать разговоры практически любого абонента GSM на планете, без помощи оператора связи или местных правоохранительных структур.
Обладание ключами также избавляет от необходимости получать судебный ордер на прослушку подозреваемого, не оставляя никаких следов от подобной деятельности.
Вдобавок ко всему, взлом Gemalto и получение ключей позволяет расшифровать коммуникации, которые были перехвачены и записаны раньше, но до сих пор не расшифрованы.
В документах Сноудена сказано, что расшифровкой мобильных коммуникаций занималось подразделение АНБ под названием Mobile Handset Exploitation Team (MHET).
В результате операции оказались скомпрометированными все данные, которые абоненты хранят на SIM-картах, в том числе контакты и сохранённые сообщения.
Теоретически, АНБ могло осуществлять массовую запись всех разговоров и их архивирование на тот случай, если разговоры какого-то абонента понадобятся в будущем. В таких условиях ни один оператор сотовой связи не может гарантировать абонентом защиту от прослушки, даже если абонент пользуется «суперзащищённым» росссийским мобильником TaigaPhone.
Что интересно, опубликованная переписка свидетельствует о целенаправленной слежке со стороны АНБ за сотрудниками Gemalto (см. скриншот). Это не преступники и не подозреваемые, их единственная «провинность» — то, что они работали в Gemalto.
