Аккаунт в социальной сети и содержащаяся на нем личная информация отнесены к охраняемой законом личной и семейной тайне, противоправный доступ к которой влечет за собой уголовную ответственность. — Cтал жертвой мошенников: взломали аккаунт на «Госуслугах» и понабрали микрозаймов, этим делом сейчас занимается прокуратура, — пишет xdeath93 на «».
Названо 5 "невинных" способов слежки за женой, за которые мужа могут упечь в тюрьму
Одним из распространенных способов мошенничества посредством сети Интернет остается взлом аккаунта в социальной сети с последующим сбором денег, например, под предлогом одолжить некоторую сумму. 5 ошибок при соблюдении безопасности, из-за которых мошенники легко взламывают аккаунт. Вполне вероятно, что после взлома вашего аккаунта в соцсетях мошенники могут получить данные от вашей почты, поэтому на всякий случай инструкции о том, что делать, если взломали e-mail.
В WhatsApp произошел массовый взлом аккаунтов
Например, мошенник может писать со взломанного аккаунта друга или родственника, подделывать голос по телефону (сейчас научились подделывать даже видеосообщения в мессенджерах, поэтому так важно всегда перезванивать тому контакту, который просит у вас. Но что делать, если аккаунт на сайте госуслуг взломали и доступ ко всем вашим документам оказался в руках злоумышленников? Взломали аккаунт на Госуслугах? Рассказали о том, насколько велика вероятность взлома аккаунта в Телеграме, что делать, если это произошло, и как избежать такого сценария развития событий. Но что делать, если аккаунт на сайте госуслуг взломали и доступ ко всем вашим документам оказался в руках злоумышленников?
Какое наказание возможно за взлом аккаунта соц сети и распространение личных данных?
На своём ныне несуществующем сайте в даркнете группировка, однако, заявила, что она «располагается в Нидерландах, совершенно аполитична и заинтересована только в деньгах». В начале прошлого года вирус LockBit атаковал ресурсы Британской Королевской почты ; в ноябре жертвой хакеров стала компания Boeing , чьи внутренние данные были выложены в открытый доступ. По сведениям группы исследователей в области кибербезопасности vx-underground, при попытке входа в панель управления вирусом аффилированные с LockBit хакерские группировки увидели сообщение, что правительственным агентам удалось заполучить исходный код, подробности о жертвах атак, суммы полученных в результате незаконной деятельности средств, журналы чатов и многое другое. Дополнительную информацию правоохранители обещали предоставить на сайте LockBit уже сегодня, 20 февраля, в 11:30 по Гринвичу 14:30 мск. В качестве примера использовался десятилетний ноутбук, и это дало повод предположить, что современные модели уязвимости не подвержены. Как выяснилось, даже современные лэптопы 2023 года под управлением Windows 11 всё ещё могут взламываться схожим образом. Источник изображения: lenovo.
Следует отметить, что этот метод атаки срабатывает только при наличии у злоумышленника физического доступа к компьютеру — удалённо перехватить ключ шифрования не получится. Чтобы защититься, можно выбрать и дополнительные меры, например использовать пароль при запуске или воспользоваться USB-ключом. Ключ шифрования BitLocker сохраняется на чипе TPM по умолчанию — в настройках системы предпочитаемый метод можно изменить. Кроме того, многие современные чипы Intel и AMD располагают встроенным TPM, а значит, перехватить его данные при обмене с процессором уже не получится. Пользователям мессенджера рекомендуется проявлять осмотрительность. В частности, рассылаются сообщения с просьбами срочно перевести деньги, предупреждениями о звонке чиновника или просьбами предоставить информацию.
В отдельных случаях запросы конкретизируются по городам, информации о заболеваниях и числу проживающих в доме или квартире. Если в 2022 году эти данные продавались преимущественно через теневые форумы, то в 2023 году выросла популярность Telegram как торговой площадки — в 2024 году перемен здесь не ожидается, уверены эксперты. Чаще всего кибермошенники пытались уговорить жертву на перевод средств или отправляли ей фишинговую ссылку. Компаниям рассылали не соответствующие действительности сообщения об утечках данных — если в России примут закон об оборотных штрафах за утечки, эта тенденция грозит усилиться. Некоторые пользователи мессенджера оказались жертвами мошенников и пранкеров, пользующихся технологиями дипфейка. Техподдержка Telegram не всегда достаточно оперативно блокирует подозрительных пользователей, поэтому рекомендуется проявлять осмотрительность.
Подсчитать рост активности мошенников на платформе можно лишь приблизительно, потому что в статистику попадают не все инциденты. Telegram выступает одновременно и инструментом для мошеннических схем, и площадкой для предложения незаконных товаров и услуг: к примеру, в прошлом году набрали популярность фиш-киты — заготовки поддельных веб-страниц, имитирующих ресурсы популярных брендов. Пользователям мессенджера рекомендуется не открывать в нём подозрительные ссылки; не скачивать файлы, даже если их якобы отправили знакомые, которых в реальности могли взломать; критически относиться к несвойственным отдельным собеседникам оборотам речи и просьбам. Следует включить двухфакторную аутентификацию и не оставлять данных учётной записи ни на каких ресурсах. Можно также отключить в настройках приём сообщений и звонков от незнакомых контактов. При взломе аккаунта рекомендуется произвести принудительный выход на всех устройствах, а иногда и удалить профиль — данные потеряются, но мошенники не смогут ими воспользоваться.
Это спровоцировало краткосрочный взрывной рост крупнейшей криптовалюты, а сообщение впоследствии было удалено. Глава комиссии Гэри Генслер Gary Gensler написал на личной странице, что учётная запись SEC была «скомпрометирована, и был опубликован несанкционированный твит». Впоследствии аналогичное сообщение появилось и в самом аккаунте ведомства; его представитель также подтвердил CNBC , что к учётной записи комиссии получило доступ неизвестное лицо. Некоторое время спустя официальный аккаунт службы безопасности X опубликовал заявление , в котором говорится: «По данным нашего расследования, взлом произошёл не из-за какого-либо нарушения систем X, а скорее из-за того, что неизвестное лицо получило контроль над номером телефона, привязанным к учётной записи SECGov через третью сторону». На минувшей неделе ресурс BleepingComputer указал, что хакеры всё чаще взламывают в X страницы компаний и правительственных организаций для продвижения криптовалютного мошенничества и фишинговых сайтов. Специализирующаяся на вопросах кибербезопасности компания CloudSEK добавила, что доступ к этим учётным записям с золотистыми у компаний и серыми у ведомств галочками верификации выставляется на продажу в даркнете.
При этом соцсеть X пока не делала заявлений о намерении скорректировать свою политику безопасности. Источник изображения: twitter. Утверждённые биткоин-ETF будут подлежать постоянному надзору и соблюдению мер для обеспечения постоянной защиты инвесторов». Вместе с текстом была размещена фотография главы ведомства Гэри Генслера, но отсутствовала традиционно сопровождающая такие новости ссылка на сайт SEC. Взломавшие страницу комиссии неизвестные лица также начали ставить лайки связанным с криптовалютной отраслью учётным записям, которые выражали восхищение по поводу одобрения ETF. ETF представляют собой пакеты активов, которые торгуются на биржах наравне с акциями — привязанный к биткоину фонд позволит инвесторам играть на цене криптовалюты без необходимости заводить кошельки и напрямую покупать цифровой актив.
Данный сервис, напомним, позволяет владельцам устройств Apple делиться между собой различным контентом, включая фотографии, видео, документы, контакты, пароли и т. Об этом сообщил Bloomberg. По словам агентства, это помогло органам правопорядка выявить ряд подозреваемых в совершении преступлений, которые используют функцию AirDrop для распространения незаконного контента. Apple ограничила использование этой функции в продаваемых в Китае iPhone с 2022 года после того как её использовали в ходе протестов антиправительственные активисты для распространения листовок среди других владельцев устройств компании. AirDrop по умолчанию был ограничен только контактами, а возможность использовать AirDrop для «Всех» была ограничена 10 минутами. С выходом iOS 16.
Как сообщает MacRumors , это не первый случай обнаружения уязвимости в сервисах Apple. В апреле 2021 года сообщалось, что немецкие исследователи выяснили, что механизм взаимной аутентификации, который подтверждает нахождение получателя и отправителя в адресной книге друг друга, может использоваться для раскрытия частной информации. Они известили об этом Apple ещё в мае 2019 года, но компания до сих не устранила уязвимость. Для этого они обучают ИИ-чат-бот созданию подсказок, которые позволяют обходить защиту других чат-ботов на базе ИИ. Во-первых, они провели реверс-инжиниринг того, как LLM выявляют вредоносные запросы и защищаются от них. Используя эту информацию, они научили LLM автоматически учиться и предлагать подсказки, которые позволяют обходить защиту других LLM.
Таким образом можно создать LLM для взлома, которая сможет автоматически адаптироваться к новым условиям и создавать новые запросы для взлома после того, как разработчики внесут исправления в свои LLM. После проведения серии тестов на LLM в качестве доказательства, что этот метод действительно представляет реальную угрозу, исследователи сразу же известили о выявленных проблемах провайдеров сервисов после успешного взлома их ИИ-моделей. Разработка учёных NTU должна помочь компаниям определить слабые стороны и ограничения своих ИИ-чат-ботов, чтобы принять меры по их защите от хакеров. Информация об инциденте была раскрыта в соответствии с законодательством генеральному прокурору штата Мэн. Поданные компанией документы позволяют предположить, но не однозначно утверждать, что в результате взлома были похищены данные преимущественно или исключительно её сотрудников. Соответствующие уведомления National Amusements начала рассылать 22 декабря 2023 года, то есть через 372 дня после инцидента.
Однако один из признаков компрометации можно получить, изучив файл изображения, который разбирается при загрузке. Если криптографический хэш этого файла отличается от хэша файла, который производители устройств обычно предоставляют бесплатно, устройство можно дополнительно проанализировать на предмет наличия признаков эксплуатации. В настоящее время этот список неполный. Консультации доступны примерно от дюжины сторон. Полный список на момент публикации был недоступен. Те, кто хочет узнать, уязвимо ли конкретное устройство, должны обратиться к его производителю. Лучший способ предотвратить атаки LogoFAIL — установить обновления безопасности UEFI, которые будут выпущены в рамках скоординированного процесса раскрытия информации в среду. Эти исправления будут распространяться производителем устройства или материнской платы, установленной в устройстве. Также, по возможности, рекомендуется настраивать UEFI на использование нескольких уровней защиты.
Инцидент коснулся 5,5 млн пользователей с активной функцией DNA Relatives сопоставление людей со схожими ДНК и 1,4 млн с профилями генеалогического древа. Злоумышленники, по версии 23andMe, получили доступ к информации, воспользовавшись методом подстановки данных: люди часто пользуются одинаковыми логинами и паролями на разных сервисах, из-за чего компрометация данных на одном открывает доступ к другим. Сделав это, они воспользовались функцией DNA Relatives, предполагающей сопоставление ДНК вероятных родственников, и получили дополнительную информацию нескольких миллионов других профилей. Первые сведения об инциденте были преданы огласке в октябре, когда 23andMe подтвердила, что данные её пользователей выставили на продажу в даркнете. Впоследствии компания заявила, что проверяет сообщения о публикации 4 млн генетических профилей жителей Великобритании, а также «самых богатых людей, проживающих в США и Западной Европе». В базе утечки 5,5 млн пользователей DNA Relatives оказались их отображаемые в системе имена, вероятные связи с другими людьми, число пользователей с совпадениями в ДНК, сведения о происхождении, указанные самими пользователями местоположения, места рождения предков, фамилии, изображения профиля и многое другое. Ещё 1,4 млн пользователей имели доступ к профилям генеалогического древа — из этой базы были похищены их отображаемые имена, родственные связи, годы рождения и указанные этими пользователями местоположения. Во второй базе, однако, не было степеней совпадения ДНК. В 23andMe сообщили, что продолжают уведомлять пострадавших от утечки пользователей.
Компания стала предупреждать клиентов о необходимости сменить пароли и принудительно внедрять двухфакторную авторизацию, которая ранее была необязательной. Неизвестные украли конфиденциальные данные сотен тысяч пользователей, деловых партнёров и сотрудников компании. Источник изображения: line. В письме говорится, что служба безопасности обнаружила вторжение 17 октября, а сама атака, вероятно, произошла неделей раньше — 9 октября. Сообщений о неправомерном использовании похищенных данных пока не поступало. Хакерам удалось похитить 440 000 записей с персональными данными, из которых не менее 300 000 принадлежали пользователям приложения. У пользователей похищены, в частности, данные о действиях на странице звонков, данные комнат групповых вызовов, а также сведения о публикации контента. Скомпрометированные данные сотрудников включают их полные имена, идентификационные номера и адреса электронной почты; похищены также более 86 000 адресов электронной почты партнёров. Содержимое сообщений, банковские данные и прочая финансовая информация похищены не были.
При этом пострадавшим пользователям рекомендовано проявлять осторожность, поскольку похищенные злоумышленниками данные могут использоваться для фишинга и мошеннических схем. Мессенджер Line популярен не только в Японии, но и в других азиатских странах, включая Тайвань, Таиланд и Индонезию; число ежемесячно активных пользователей приложения по всему миру составляет около 176 млн. Отмечается, что хакеры успели похитить документы NXP, связанные с разработкой и конструкцией микросхем. Общий масштаб преступления ещё не раскрыт. NXP является крупнейшим производителем микросхем в Европе. Она была обнаружена только потому, что аналогичная атака произошла на нидерландского авиаперевозчика Transavia, дочку авиакомпании KLM. Хакеры получили доступ к системам бронирования Transavia в сентябре 2019 года. Сообщается, что взлом имеет все признаки, указывающие на хакерскую группу Chimera, а в процессе проникновения во внутреннюю сеть NXP хакеры использовали в том числе разработанный этой группой инструмент ChimeRAR. Хакеры сумели обойти защитные меры двойной аутентификации, изменив привязанные ко входу в систему мобильные номера.
Злоумышленники вели себя очень тихо, не привлекая внимания и каждые несколько недель крали новые документы из базы данных NXP. Полученная информация зашифровывались, а затем публиковалась на онлайн-сервисах облачного хранения вроде Microsoft OneDrive, Dropbox и Google Drive. NXP Semiconductors является весьма крупным игроком на мировом рынке полупроводников. Производитель микросхем расширил свою долю рынка и влияние после приобретения американской компании Freescale тоже занимается производством микросхем в 2015 году. NXP известна разработкой чипов безопасности Mifare для нидерландского общественного транспорта, а также микросхемами безопасности, связанными с iPhone. Несмотря на подтверждение кражи своей интеллектуальной собственности, NXP заявляет, что нарушение не привело к материальному ущербу, поскольку украденные данные достаточно сложны, и их нельзя легко использовать для копирования проектов. Вследствие этого компания не видела необходимости информировать об инциденте своих акционеров или широкую общественность. Сообщается, что после взлома NXP приняла меры по повышению безопасности. Компания усовершенствовала свои системы мониторинга и ввела более строгий контроль за доступностью и передачей данных внутри своей сети.
Шаги направлены на защиту от подобных инцидентов в будущем, безопасность ценных интеллектуальных активов, а также поддержку целостности её сети. Более того, доступ у злоумышленников оставался в течение года. Samsung отказалась раскрыть дополнительные подробности инцидента, в том числе сообщить, какое число клиентов пострадало, и каким образом хакерам удалось получить доступ к её внутренним системам. В письме, разосланном пострадавшим клиентам, компания признала, что злоумышленники воспользовались уязвимостью в стороннем бизнес-приложении и получили доступ к личной информации клиентов, совершивших покупки в британском разделе интернет-магазина Samsung в период с 1 июля 2019 по 30 июня 2020 года. Корейскому производителю удалось обнаружить взлом системы лишь более трёх лет спустя — 13 ноября 2023 года. Хакеры могли получить доступ к именам клиентов, их номерам телефонов, почтовым адресам и адресам электронной почты. Финансовые данные, включая данные банковских карт и клиентские пароли, злоумышленникам похитить не удалось, подчеркнул представитель Samsung и добавил, что компания уведомила о проблеме Управление комиссара по информации Великобритании ICO — регулятор «проведёт расследование» по данному факту. За последние два года это уже третий взлом систем Samsung киберпреступниками. В сентябре того же года хакеры получили доступ к данным, принадлежащим некоторым подразделениям Samsung в США — тогда компания также отказалась назвать число пострадавших клиентов.
Отмечается, что атака затронула менее 100 пользователей Steam.
Таковы результаты совместного исследования сервиса Работа. В опросе приняли участие более 6300 пользователей из всех регионов России. Эксперты по информационной безопасности «Одноклассников» отмечают, что чаще всего аккаунты взламывают из-за утечек на сторонних ресурсах. Многие используют одни и те же логины и пароли для всех интернет-сервисов, включая ненадежные, поэтому киберпреступники, получив доступ к одному ресурсу, используют данные для входа в остальные.
Что будет, если ввести свои данные на другом сайте? Естественно, их тут же украдут и тогда уж точно взломают ваш профиль во ВКонтакте. Более 100 крутых уроков, тестов и тренажеров для развития мозга Начать развиваться Чтобы убедиться, что страница заблокирована, попробуйте зайти на нее с другого компьютера или телефона. Желательно, чтобы они были подключены к другой сети. Если вход успешно осуществляется, нужно на своем устройстве запустить полное сканирование антивирусом, предварительно отключив компьютер от интернета.
Если программа ничего не нашла, обновите ее или установите дополнительную защиту. Если вы убедились, что страница официально заблокирована, ее можно восстановить. Процедура схожа с той, что была описана выше. Вам нужно ввести телефон, к которому привязан профиль, и придумать новый пароль или обратиться в службу поддержки. Удаление аккаунта Удалить свой профиль можно только после того, как вы вернете контроль над ним. Если вы боитесь, что злоумышленники снова украдут данные, можете на время удалить страницу. Для этого зайдите в настройки и внизу нажмите на соответствующую надпись. В открывшемся окне отметьте причину, напишите свой комментарий и оповестите друзей, чтобы они знали, что вы закрываете свой аккаунт. Я не советую вам прибегать к таким мерам. Думаю, всегда можно решить проблему без ликвидации профиля.
Но решение за вами. Вы можете создать нового пользователя или через время восстановить страницу. Как уберечь себя от взлома Всегда проще предотвратить проблему, чем решить ее. Наверное, это невозможно, но попытаться стоит. Я рекомендую такие меры безопасности: придумайте хорошие сложные пароли для социальных сетей и других сайтов, для всех — разные. Лучше всего, если они будут состоять из случайных букв, цифр, подчеркиваний, тире. Можно добавлять заглавные буквы; храните информацию в специальной программе, ключ от которой доступен только вам. В таком случае нужно запомнить лишь один пароль, остальные данные будут находиться в надежном месте.
Специалист рассказал, какая ответственность предусмотрена в РФ за взлом аккаунтов
Уголовная ответственность за это предусмотрена статьёй 138.1 УК РФ "Незаконный оборот специальных технических средств, предназначенных для негласного получения информации". Таким образом можно украсть все — от аккаунта в соцсетях до игр и всего, что угодно», — рассказал Сахнов «360». В Калмыкии суд приговорил мужчину к исправительным работам за взлом аккаунта.
Названы основные причины взлома аккаунтов россиян в соцсетях
Две трети россиян (67%) заявили, что сталкивались с попытками мошенников похитить их аккаунты в Сети, пишет "Газета. Но что делать, если аккаунт на сайте госуслуг взломали и доступ ко всем вашим документам оказался в руках злоумышленников? В Петербурге арестован мошенник, который с помощью взломанных аккаунтов курьеров работал доставщиком, но только. В Петербурге арестован мошенник, который с помощью взломанных аккаунтов курьеров работал доставщиком, но только. В 2022 году 42% россиян столкнулись со взломом своих страниц в соцсетях.
«Проголосуй за Лену, пожалуйста»: мошенники массово взламывают жертв в WhatsApp
Обнаружение этих уязвимостей — результат почти годовой работы компании Binarly, которая помогает клиентам выявлять и защищать уязвимые системы. Затронуты продукты компаний, которые представляют почти всю экосистему x64-86 и ARM. Исследователи обнародовали информацию об атаке в среду на конференции по безопасности Black Hat в Лондоне. Как следует из названия, LogoFAIL затрагивает логотипы, в частности логотипы продавца оборудования, которые отображаются на экране устройства в самом начале процесса загрузки, пока UEFI еще работает. Парсеры изображений в UEFI всех трех основных поставщиков UEFI имеют около десятка критических уязвимостей, которые до сих пор оставались незамеченными. Заменяя легитимные изображения логотипов на идентичные, специально созданные для использования этих ошибок, LogoFAIL позволяет выполнить вредоносный код на самом ответственном этапе процесса загрузки, который известен как DXE Driver Execution Environment. После этого LogoFAIL может доставить «полезную нагрузку» второго этапа, которая сбрасывает исполняемый файл на жёсткий диск ещё до запуска основной ОС.
В следующем видеоролике показан пробный вариант эксплойта, созданный исследователями. В своём письме основатель и генеральный директор Binarly Алекс Матросов Alex Matrosov написал: «LogoFAIL — это недавно обнаруженный набор уязвимостей высокого уровня безопасности, затрагивающих различные библиотеки парсинга изображений, используемые в системных прошивках различных производителей в процессе загрузки устройства. В большинстве случаев эти уязвимости присутствуют в эталонном коде, что оказывает влияние не на одного производителя, а на всю экосистему, включающую этот код и производителей устройств, в которых он используется. Эта атака может дать угрожающему агенту преимущество в обходе большинства решений по защите конечных точек и предоставить скрытый буткит прошивки, который будет сохраняться в капсуле прошивки с изменённым изображением логотипа». Удалённые атаки осуществляются путем использования непропатченной уязвимости в браузере, медиаплеере или другом приложении и использования полученного административного контроля для замены легитимного изображения логотипа, обрабатываемого в начале процесса загрузки, на идентичное, использующее дефект парсера. Другой способ — получить короткий доступ к уязвимому устройству, пока оно разблокировано, и заменить легитимный файл изображения на вредоносный.
В любом случае вредоносный логотип заставляет UEFI выполнять созданный злоумышленником код во время важной фазы DXE при каждой загрузке устройства. Выполняя код на этом раннем этапе, когда происходит большая часть инициализации системы, эксплойт перехватывает весь последующий поток выполнения, что позволяет ему обойти такие средства защиты, как Secure Boot и аппаратные механизмы проверки загрузки, такие как Intel Boot Guard, AMD Hardware-Validated Boot или ARM TrustZone-based Secure Boot. У такого подхода есть серьёзные преимущества. Во-первых, на жёсткий диск никогда не попадает исполняемый код — этот метод известен как «бесфайловое вредоносное ПО», которое затрудняет обнаружение антивирусами и другими типами программного обеспечения для защиты конечных точек. Ещё одно преимущество: после создания образа устройство остается заражённым даже при переустановке операционной системы или замене основного жёсткого диска. Если системная прошивка на базе UEFI настроена на корректное использование таких средств защиты, как Intel Boot Guard, и имеет немодифицируемый логотип, подбросить вредоносный образ в ESP невозможно.
Однако во многих случаях можно запустить свободно распространяемый программный инструмент с сайта IBV или производителя устройства, который «перезаливает» прошивку из операционной системы. Чтобы пройти проверку безопасности, инструмент устанавливает ту же самую прошивку UEFI с криптографической подписью, которая уже используется, изменяя только изображение логотипа, которое не требует действительной цифровой подписи. Во многих случаях инструмент IBV имеет цифровую подпись, что снижает вероятность вмешательства средств защиты конечных точек. В презентации, представленной в среду, исследователи привели следующее изображение, иллюстрирующее работу атак LogoFAIL. Источник изображения: Binarly В документе, сопровождающем презентацию, исследователи отмечают следующее: «Как видно из предыдущего рисунка, атаку LogoFAIL можно разделить на три разных этапа. Сначала злоумышленник готовит образ вредоносного логотипа, сохраняет его в ESP или в неподписанном разделе обновления прошивки и перезагружает устройство.
В процессе загрузки уязвимая прошивка загружает вредоносный логотип из ESP и разбирает его с помощью уязвимого парсера изображений, что позволяет злоумышленнику перехватить поток выполнения, используя уязвимость в самом парсере. Используя эту угрозу, злоумышленник может добиться выполнения произвольного кода на этапе DXE, что означает полный крах безопасности платформы. Поскольку он может быть выполнен полностью из операционной системы, он полностью разрушает любые границы безопасности между ОС и прошивкой. Современные средства защиты «под ОС», такие как Secure Boot, также совершенно неэффективны для борьбы с этой угрозой. Атаки, начинающиеся на уровне прошивки, позволяют установить буткит и подорвать любой механизм безопасности на уровне ОС, оставаясь при этом совершенно необнаружимыми для решений по обнаружению систем безопасности. Поскольку LogoFAIL нацелен на код, специфичный для UEFI, эта новая угроза не ограничивается одной архитектурой, а является еще одним примером межкремниевой эксплуатации, которая затрагивает как x86, так и ARM-устройства».
Исследователи обнаружили уязвимости, прогнав парсеры образов UEFI через инструмент, известный как фаззер. Фаззеры предназначены для выявления ошибок в программировании путем многократного выполнения небольших фрагментов кода с небольшими изменениями входных данных. Каждый раз, когда происходит сбой, фаззер отмечает адрес памяти, где он произошел, и входные данные, которые его вызвали. Дальнейший анализ с использованием других инструментов и процессов позволил исследователям выделить ошибки, позволяющие выполнить произвольный код или другие типы уязвимостей. В общей сложности они выявили 24 уникальные первопричины, 13 из которых, по их мнению, можно использовать. Полученные результаты поднимают сложный вопрос: если фаззеры выявили так много уязвимостей, которые можно использовать, почему разработчики UEFI часто называемые IBV или независимыми поставщиками BIOS и OEM-производители, продающие устройства, не воспользовались этими инструментами и не исправили основные ошибки?
Исследователи Binarly продолжили: «Этот процесс сортировки дал нам хорошее понимание первопричин, лежащих в основе этих ошибок. Хотя они охватывают широкий спектр проблем безопасности программного обеспечения, основной темой является отсутствие проверки данных, предоставляемых злоумышленниками. Источник изображения: Binarly Поскольку это смещение может быть задано злоумышленником произвольно, переменная «Image» может указывать практически на любое место в памяти. Вторая ошибка - это целочисленное переполнение 32-битного целого числа, представляющего размер выделения. Источник изображения: Binarly Таким образом, злоумышленник может принудительно выделить буфер, который слишком мал для хранения декодированных PNG-данных, и таким образом переполнить буфер, когда он будет использоваться. Результаты нашей фаззинговой кампании однозначно говорят о том, что ни один из этих парсеров изображений никогда не тестировался IBV или OEM-производителями.
Мы можем с уверенностью утверждать это, потому что фаззер смог найти несколько сбоев после нескольких секунд работы, и мы обнаружили сбои почти в каждом парсере, который мы тестировали». Поскольку уязвимости парсера изображений, используемые LogoFAIL, находятся в UEFI, компьютеры Mac, смартфоны и другие устройства, использующие альтернативные механизмы загрузки, не пострадали. Причина: Apple жёстко закодировала файлы образов в UEFI, что сделало невозможным подмену легитимного образа на вредоносный аналог. Будучи разработчиком как аппаратного, так и программного обеспечения для компьютеров Mac, Apple имела такую возможность. Разнообразие экосистем, вращающихся вокруг платформ Windows и Linux, требует большей гибкости. Многие устройства, продаваемые Dell, не поддаются прямой эксплуатации, поскольку файлы образов защищены Intel Boot Guard, что делает невозможным их замену даже при физической атаке.
В качестве дополнительной меры многие устройства Dell не позволяют настраивать логотип. Несмотря на то, что эти меры эффективно закрывают поверхность атаки LogoFAIL, Binarly рекомендует исправлять уязвимости, связанные с разбором изображений высокой степени опасности, «поскольку они представляют собой опасность, которая может случайно превратиться в проблему безопасности». LogoFAIL основывается на большом массиве исследований, проведённых более чем за десять лет. Впервые перехват последовательности загрузки путём использования ошибок разбора изображений в UEFI был продемонстрирован в 2009 году в презентации Black Hat исследователями Рафалом Войтчуком Rafal Wojtczuk и Александром Терешкиным Alexander Tereshkin. С тех пор постоянно появляются новые открытия, как в последующих исследованиях, так и, в некоторых случаях, в атаках, обнаруженных в реальном мире. Первый известный случай реальной атаки с использованием возможностей UEFI произошел в 2018 году с обнаружением вредоносного ПО, получившего название LoJax.
Аккаунт в социальной сети и содержащаяся на нем личная информация отнесены к охраняемой законом личной и семейной тайне, противоправный доступ к которой влечет за собой уголовную ответственность. Неправомерным считается доступ к конфиденциальной информации или информации, составляющей государственную или иную охраняемую законом тайну, лица, не обладающего необходимыми полномочиями без согласия собственника или его законного представителя , при условии обеспечения специальных средств ее защиты. Уголовная ответственность последует при наступлении одного из последствий: - уничтожение информации — приведение информации или ее части в непригодное для использования состояние независимо от возможности ее восстановления; - блокирование информации — невозможность в течение некоторого времени или постоянно осуществлять требуемые операции над компьютерной информацией полностью или в требуемом режиме, не связанное с ее уничтожением например, изменение логина или пароля чужого аккаунта в социальной сети, без согласия его владельца ; - модификация информации — внесение изменений в компьютерную информацию или ее параметры ; - копирование информации — перенос на обособленный носитель при сохранении неизменной первоначальной информации, ее воспроизведение в любой материальной форме от руки, фотографирование текста с экрана дисплея, считывание путем любого «перехвата» информации и др.
Используя эту угрозу, злоумышленник может добиться выполнения произвольного кода на этапе DXE, что означает полный крах безопасности платформы. Поскольку он может быть выполнен полностью из операционной системы, он полностью разрушает любые границы безопасности между ОС и прошивкой. Современные средства защиты «под ОС», такие как Secure Boot, также совершенно неэффективны для борьбы с этой угрозой. Атаки, начинающиеся на уровне прошивки, позволяют установить буткит и подорвать любой механизм безопасности на уровне ОС, оставаясь при этом совершенно необнаружимыми для решений по обнаружению систем безопасности. Поскольку LogoFAIL нацелен на код, специфичный для UEFI, эта новая угроза не ограничивается одной архитектурой, а является еще одним примером межкремниевой эксплуатации, которая затрагивает как x86, так и ARM-устройства».
Исследователи обнаружили уязвимости, прогнав парсеры образов UEFI через инструмент, известный как фаззер. Фаззеры предназначены для выявления ошибок в программировании путем многократного выполнения небольших фрагментов кода с небольшими изменениями входных данных. Каждый раз, когда происходит сбой, фаззер отмечает адрес памяти, где он произошел, и входные данные, которые его вызвали. Дальнейший анализ с использованием других инструментов и процессов позволил исследователям выделить ошибки, позволяющие выполнить произвольный код или другие типы уязвимостей. В общей сложности они выявили 24 уникальные первопричины, 13 из которых, по их мнению, можно использовать. Полученные результаты поднимают сложный вопрос: если фаззеры выявили так много уязвимостей, которые можно использовать, почему разработчики UEFI часто называемые IBV или независимыми поставщиками BIOS и OEM-производители, продающие устройства, не воспользовались этими инструментами и не исправили основные ошибки? Исследователи Binarly продолжили: «Этот процесс сортировки дал нам хорошее понимание первопричин, лежащих в основе этих ошибок. Хотя они охватывают широкий спектр проблем безопасности программного обеспечения, основной темой является отсутствие проверки данных, предоставляемых злоумышленниками.
Источник изображения: Binarly Поскольку это смещение может быть задано злоумышленником произвольно, переменная «Image» может указывать практически на любое место в памяти. Вторая ошибка - это целочисленное переполнение 32-битного целого числа, представляющего размер выделения. Источник изображения: Binarly Таким образом, злоумышленник может принудительно выделить буфер, который слишком мал для хранения декодированных PNG-данных, и таким образом переполнить буфер, когда он будет использоваться. Результаты нашей фаззинговой кампании однозначно говорят о том, что ни один из этих парсеров изображений никогда не тестировался IBV или OEM-производителями. Мы можем с уверенностью утверждать это, потому что фаззер смог найти несколько сбоев после нескольких секунд работы, и мы обнаружили сбои почти в каждом парсере, который мы тестировали». Поскольку уязвимости парсера изображений, используемые LogoFAIL, находятся в UEFI, компьютеры Mac, смартфоны и другие устройства, использующие альтернативные механизмы загрузки, не пострадали. Причина: Apple жёстко закодировала файлы образов в UEFI, что сделало невозможным подмену легитимного образа на вредоносный аналог. Будучи разработчиком как аппаратного, так и программного обеспечения для компьютеров Mac, Apple имела такую возможность.
Разнообразие экосистем, вращающихся вокруг платформ Windows и Linux, требует большей гибкости. Многие устройства, продаваемые Dell, не поддаются прямой эксплуатации, поскольку файлы образов защищены Intel Boot Guard, что делает невозможным их замену даже при физической атаке. В качестве дополнительной меры многие устройства Dell не позволяют настраивать логотип. Несмотря на то, что эти меры эффективно закрывают поверхность атаки LogoFAIL, Binarly рекомендует исправлять уязвимости, связанные с разбором изображений высокой степени опасности, «поскольку они представляют собой опасность, которая может случайно превратиться в проблему безопасности». LogoFAIL основывается на большом массиве исследований, проведённых более чем за десять лет. Впервые перехват последовательности загрузки путём использования ошибок разбора изображений в UEFI был продемонстрирован в 2009 году в презентации Black Hat исследователями Рафалом Войтчуком Rafal Wojtczuk и Александром Терешкиным Alexander Tereshkin. С тех пор постоянно появляются новые открытия, как в последующих исследованиях, так и, в некоторых случаях, в атаках, обнаруженных в реальном мире. Первый известный случай реальной атаки с использованием возможностей UEFI произошел в 2018 году с обнаружением вредоносного ПО, получившего название LoJax.
LoJax, представляющий собой переработанную версию легального противоугонного программного обеспечения, известного как LoJack, был создан хакерской группой, известной под такими названиями, как Sednit, Fancy Bear и APT 28. Вредоносная программа была установлена удалённо с помощью инструментов, способных считывать и перезаписывать части флэш-памяти прошивки UEFI. При каждой перезагрузке заражённого устройства UEFI проверял наличие вредоносного файла в папке запуска Windows и, если его не было, устанавливал его. Исследователи из компании Kaspersky, обнаружившей вредоносную программу и назвавшей её «MosaicRegressor», до сих пор не знают, как произошло заражение UEFI. Другой вариант — получение короткого физического доступа к устройству и использование специально разработанного USB-накопителя для заражения UEFI. С тех пор стало известно о нескольких новых буткитах UEFI. В ответ на эти угрозы производители устройств начали внедрять меры по защите процесса загрузки UEFI. Ключевым средством защиты является Secure Boot — общепромышленный стандарт, использующий криптографические подписи, чтобы гарантировать, что каждая часть программного обеспечения, используемого при загрузке, доверена производителем компьютера.
Secure Boot призван создать цепочку доверия, которая не позволит злоумышленникам заменить предназначенную для загрузки вредоносную микропрограмму. Если хоть одно звено в цепочке запуска не распознано, Secure Boot не позволит устройству запуститься. Способность буткита UEFI, получившего название Black Lotus, обойти защиту, существующую уже 12 лет, была впечатляющей, но у него было одно ключевое ограничение — его можно было уничтожить, выполнив простую переустановку основной операционной системы. LogoFAIL не имеет такого ограничения. Пока вредоносный образ исполняется в UEFI, машина, на которой установлена прошивка, будет оставаться зараженной. Нет никаких признаков того, что уязвимости LogoFAIL активно использовались в реальной практике злоумышленниками, и об этом вряд ли можно узнать, поскольку заражение очень сложно обнаружить с помощью традиционных инструментов и методов. Однако один из признаков компрометации можно получить, изучив файл изображения, который разбирается при загрузке. Если криптографический хэш этого файла отличается от хэша файла, который производители устройств обычно предоставляют бесплатно, устройство можно дополнительно проанализировать на предмет наличия признаков эксплуатации.
В настоящее время этот список неполный. Консультации доступны примерно от дюжины сторон. Полный список на момент публикации был недоступен. Те, кто хочет узнать, уязвимо ли конкретное устройство, должны обратиться к его производителю. Лучший способ предотвратить атаки LogoFAIL — установить обновления безопасности UEFI, которые будут выпущены в рамках скоординированного процесса раскрытия информации в среду. Эти исправления будут распространяться производителем устройства или материнской платы, установленной в устройстве. Также, по возможности, рекомендуется настраивать UEFI на использование нескольких уровней защиты. Инцидент коснулся 5,5 млн пользователей с активной функцией DNA Relatives сопоставление людей со схожими ДНК и 1,4 млн с профилями генеалогического древа.
Злоумышленники, по версии 23andMe, получили доступ к информации, воспользовавшись методом подстановки данных: люди часто пользуются одинаковыми логинами и паролями на разных сервисах, из-за чего компрометация данных на одном открывает доступ к другим. Сделав это, они воспользовались функцией DNA Relatives, предполагающей сопоставление ДНК вероятных родственников, и получили дополнительную информацию нескольких миллионов других профилей.
По её словам, на телефон позвонил неизвестный. Он убедил женщину установить стороннее приложение на телефон, чтобы избежать взлома аккаунта на Госуслугах. После этого жертву напугали многомиллионными кредитами и завладели её деньгами. Женщина живёт в Петербурге уже несколько лет.
В WhatsApp произошел массовый взлом аккаунтов
Взлом аккаунта – неприятная ситуация, но ее можно решить, предприняв правильные меры. Юрист Кирилл Ляхманов заявил, что в соответствии с российским законодательством злоумышленника могут наказать за взлом аккаунтов, да вот только установить его непросто. Аккаунт в социальной сети и содержащаяся на нем личная информация отнесены к охраняемой законом личной и семейной тайне, противоправный доступ к которой влечет за собой уголовную ответственность.