Программное обеспечение, которое помогает скачивать последние версии драйверов для устройств производства компании Intel, содержало в себе уязвимость, которая делала возможным проведение атак типа man-in-the-middle для выполнения на компьютерах вредоносного кода. Приложение носит название Intel Driver Update Utility и доступно для скачивания на сайте технической поддержки Intel. Оно помогает установить драйверы для чипсетов, интегрированной графики, беспроводных карт, мини-компьютеров Intel NUC или Intel Compute Stick и прочего оборудования данного производителя.
Причиной неприятностей является использование незашифрованного соединения HTTP для проверки наличия новых версий драйверов. Такие соединения могут быть перехвачены и изменены хакерами в той же локальной сети, что и атакуемые компьютеры. Уязвимость обнаружили специалисты компании Core Security и сообщили о ней в Intel ещё в ноябре. В минувший вторник Intel закрыла её, выпустив обновлённую версию утилиты.
В Core Security обнаружили, что проверка новых версий драйверов происходит при помощи скачивания файлов XML с сайта Intel через соединение HTTP. Эти файлы содержат в себе идентификаторы аппаратных компонентов, последние версии доступных для них драйверов и ссылки URL на скачивание. Вся эта информация отображена в интерфейсе утилиты и пользователь должен вручную разрешить установку новых драйверов. Программа проверяет, что ссылки на скачивание указывают на файлы в домене intel.com. Однако хакеры могут изменить файлы XML и отключить проверку домена.
Эта уязвимость стала очередной в приложениях такого рода, призванных обновлять драйверы оборудования конкретных производителей. Обладателям Intel Driver Update Utility рекомендуется как можно скорее установить последнюю версию приложения с сайта Intel.
В ядре Linux была обнаружена новая уязвимость нулевого дня, из-за которой различные дистрибутивы Linux и мобильная операционная система Android оказались уязвимы перед атаками. Стартап в сфере кибербезопасности под названием Perception Point на прошлой неделе рассказал о проблеме в ядре Linux.
Уязвимость позволяет хакерам получить корневой доступ за счёт запуска вредоносного кода на устройстве пользователей. С повышением привилегий в системе атакующий может получить полный контроль над устройством и данными на нём. Интересно отметит, что уязвимость найдена в функции безопасности Linux, она связана с методом хранения процессами информации в наборах ключей (keyrings).
Эта проблема потенциально может коснуться сотни миллионов человек, поскольку она относится ко множеству версий Linux. Хуже всего то, что уязвимость есть в Android, тут она затрагивает 66% устройств старше двух лет, и обновления большинству из них ждать не приходится.
Меньшее беспокойство уязвимость вызывает на персональных компьютерах. Разработчики дистрибутивов Red Hat, SUSE и других готовятся выпустить патчи. Пока нет никаких свидетельств существования и использования эксплоитов против этой уязвимости, однако с учётом её масштаба в будущем это может измениться.
В ежегодных взломах сайтов и сервисов можно при желании найти и положительные моменты. Исследователи сетевой безопасности получают обширный материал в виде миллионов логинов и паролей, многие из которых совсем небезопасны. Компания SplashData выпустила ежегодный доклад о худших паролях минувшего года.
Доклад составлен на основе более чем 2 млн. паролей, попавших в сеть за год. Одной из тенденций 2015 года стали более длинные пароли, что хорошо, но при этом простые, что плохо. В качестве пример названы пароли 1234567890 и qwertyuiop. Первый - просто числа в порядке возрастания, второй - верхний ряд буквенной клавиатуры слева направо.
Вот список из 25 самых популярных паролей:
123456 (без изменений)
password (без изменений)
12345678 (на 1 место вверх)
qwerty (на 1 место вверх)
12345 (на 2 места вниз)
123456789 (без изменений)
football (на 3 места вверх)
1234 (на 1 место вниз)
1234567 (на 2 места вверх)
baseball (на 2 места вниз)
welcome (новый)
1234567890 (новый)
abc123 (на 1 место вверх)
111111 (на 1 место вверх)
1qaz2wsx (новый)
dragon (на 7 мест вниз)
master (на 2 места вверх)
monkey (на 6 мест вниз)
letmein (на 6 мест вниз)
login (новый)
princess (новый)
qwertyuiop (новый)
solo (новый)
passw0rd (новый)
starwars (новый)
Управлять множеством паролей и логинов непросто, однако для этого существуют специальные программные инструменты, такие как менеджеры паролей KeePass, LastPass, Dashlane или SplashID. В будущем решением может стать повсеместная биометрическая аутентификация, а пока приходится продолжать полагаться на сильные пароли.
Сильными считаются длинные пароли с сочетанием букв разных регистров, цифр и специальных символов. Для каждого аккаунта нужно создавать разные пароли. Также рекомендуется использовать двухуровневую аутентификацию.
Компания Adobe выпустила очередное обновление своего приложения Flash Player, которое получило номер 20.0.0.286, поэтому пользователям рекомендуется как можно скорее установить его. Списка изменений данного обновления не представлено, поскольку оно только недавно появилось на серверах Adobe. Как обычно, стоит рассчитывать на закрытие ряда уязвимостей, повышение производительности и стабильности работы программы.
Adobe Flash Player зачастую называют самым уязвимым программным обеспечением среди распространённых продуктов. В настоящее время приложение используется на миллионах компьютеров, представляя угрозу для их безопасности.
Недавний доклад портала Bromium рассказал о росте уязвимостей в Adobe Flash Player втрое в 2015 году. Браузер Internet Explorer, также считающийся одним из самых уязвимых приложений, показал в прошлом году снижение числа обнаруживаемых уязвимостей. Считается, что в связи с релизом Windows 10 Microsoft уделила повышенное внимание безопасности своих продуктов.
Всего же во всех приложениях в прошлом году уязвимостей было найдено на 60% больше, чем годом ранее. У Flash рост составил 333%. В прошлом году на подъёме были вредоносные приложения «макро-уровня», спам по электронной почте и криптографические ransomware-приложения.
Майк Хирн (Mike Hearn) является одним из ключевых разработчиков криптографической валюты Биткоин. Недавно он опубликовал в блоге пространный пост, в котором делает вывод, что эксперимент с криптографической валютой близок к провалу. В качестве доказательств он называет следующие причины:
блокчейн Биткоина - база данных транзакций - заполнена и серверы могут обрабатывать не более трёх платежей в секунду
более 50% сети Биткоин и вычислительных мощностей контролируется группой китайских майнеров (всего двумя людьми)
эти майнеры не дают увеличить блок базовых транзакций Биткоина выше 1 Мб из-за плохого доступа в Интернет во многих частях Китая, что сокращаёт доход
крупный американский стартап Coinbase убран с веб-сайта Биткоин после попытки увеличения вместимости базы данных
проекты по развитию Биткоин и увеличению возможностей транзакций активно банят на официальных форумах
продвигающие эти проекты компании становятся целью DDoS-атак, разговор об этих проектах запрещён на конференциях
никогда не верившие в Биткоин люди получили полный доступ к открытому исходному коду
проценты за транзакции зачастую выше, чем на кредитных картах
главный недостаток: планируется дать клиентам право модифицировать сведения о транзакциях до того, как информация появляется в базе данных. Можно будет менять сумму или адрес кошелька получателя после совершения платежа. Хирн пишет, что это сделает Биткоин бесполезным для совершения покупок.
Критика Биткоин далеко не нова, но не от столь авторитетных людей, как один из главных разработчиков. После появления поста курс Биткоина рухнул с $440 до $360. Сам Хирн уже покинул проект и продал все биткоины, присоединившись к компании R3, совместно с Linux Foundation разрабатывающей блокчейн-технологию для конгломерата банков.