Самые громкие и интересные события мира безопасности за 2021 год - «Новости» » Самоучитель CSS
Меню
Наши новости
Учебник CSS

Невозможно отучить людей изучать самые ненужные предметы.

Введение в CSS
Преимущества стилей
Добавления стилей
Типы носителей
Базовый синтаксис
Значения стилевых свойств
Селекторы тегов
Классы
CSS3

Надо знать обо всем понемножку, но все о немногом.

Идентификаторы
Контекстные селекторы
Соседние селекторы
Дочерние селекторы
Селекторы атрибутов
Универсальный селектор
Псевдоклассы
Псевдоэлементы

Кто умеет, тот делает. Кто не умеет, тот учит. Кто не умеет учить - становится деканом. (Т. Мартин)

Группирование
Наследование
Каскадирование
Валидация
Идентификаторы и классы
Написание эффективного кода

Самоучитель CSS

Вёрстка
Изображения
Текст
Цвет
Линии и рамки
Углы
Списки
Ссылки
Дизайны сайтов
Формы
Таблицы
CSS3
HTML5

Новости

Блог для вебмастеров
Новости мира Интернет
Сайтостроение
Ремонт и советы
Все новости

Справочник CSS

Справочник от А до Я
HTML, CSS, JavaScript

Афоризмы

Афоризмы о учёбе
Статьи об афоризмах
Все Афоризмы

Видео Уроки


Наш опрос



Наши новости

       
1-01-2022, 00:01
Самые громкие и интересные события мира безопасности за 2021 год - «Новости»
Рейтинг:
Категория: Новости

Colonial Pipeline (круп­ней­ший в США опе­ратор тру­боп­роводов) и Kaseya (пос­тавщик MSP-решений), ата­кован­ные шиф­роваль­щиками.

Ата­ка на Colonial Pipeline, из‑за которой в ряде шта­тов был вве­ден режим ЧС, ста­ла той самой соломин­кой, спо­соб­ной перело­мить спи­ну вер­блю­да: вни­мание пра­воох­ранитель­ных орга­нов к шиф­роваль­щикам уси­лилось, а на боль­шинс­тве хакер­ских форумов вооб­ще пос­пешили зап­ретить рек­ламу вымога­тель­ско­го ПО.


Другие громкие взломы 2021 года


  1. Ком­пания «Яндекс» подели­лась под­робнос­тями круп­ней­шей DDoS-ата­ки в исто­рии рунета. Мощ­ность ата­ки сос­тавля­ла более 20 мил­лионов зап­росов в секун­ду, и за ней сто­ял бот­нет Mēris.


  2. Ис­сле­дова­тель получил дос­туп к тысячам камер наб­людения РЖД. Спе­циалис­ты РЖД свя­зались с ним и зак­рыли най­ден­ные уяз­вимос­ти.


  3. Не­извес­тные взло­мали чат‑бота на пор­тале Госус­луг. По сети гуляли скрин­шоты, где бот называ­ет QR-коды «частью замыс­лов мирово­го пра­витель­ства по сег­регации населе­ния».


  4. Ха­керы ском­про­мети­рова­ли поч­товый сер­вер ФБР и разос­лали фей­ковые пре­дуп­режде­ния о кибера­таках. Они вос­поль­зовались уяз­вимостью поч­тового сер­вера.


  5. Ха­кер изме­нил химичес­кий сос­тав пить­евой воды в неболь­шом городе. Он получил дос­туп к сис­теме водо­очис­титель­ных соору­жений через TeamViewer на компь­юте­ре сот­рудни­ка.


DDoS-рекорды года

  • С каж­дым годом DDoS-ата­ки ста­новят­ся все мощ­нее. В 2021 году было уста­нов­лено сра­зу нес­коль­ко таких «рекор­дов».


  • Бот­нет Mēris ата­ковал Яндекс, Хабр и мно­жес­тво дру­гих сай­тов и ком­паний. Пиковая мощ­ность этих атак сос­тавила 17 200 000 и 21 800 000 зап­росов в секун­ду.


  • Microsoft спра­вилась с рекор­дной DDoS-ата­кой на 2,4 Тбит/с, нап­равлен­ной на неназ­ванно­го евро­пей­ско­го кли­ента плат­формы Azure. DDoS-ата­ка исполь­зовала при­мер­но 70 000 ботов, в основном из Ази­атско‑Тихо­океан­ско­го реги­она (Малай­зия, Вьет­нам, Тай­вань, Япо­ния и Китай), а так­же из Соеди­нен­ных Шта­тов.



 

Утечки года


 

Twitch и Facebook


В наше вре­мя защитить свои дан­ные от уте­чек воз­можно лишь одним спо­собом — не делить­ся ими ни с кем. В про­тив­ном слу­чае в один не слиш­ком прек­расный момент твоя лич­ная информа­ция может ока­зать­ся в про­даже на одном каком‑нибудь форуме дар­кне­та. К при­меру, в этом году с подоб­ными проб­лемами приш­лось стол­кнуть­ся стри­мерам Twitch, 533 мил­лионам поль­зовате­лей Facebook.


Лю­бопыт­но, что пос­ле утеч­ки дан­ных о доходах стри­меров жур­налис­ты обна­ружи­ли слож­ную схе­му по отмы­ванию денег через сер­вис. Ока­залось, день­ги прес­тупни­ков про­ходят через турец­ких стри­меров в фор­мате пожер­тво­ваний.


Другие утечки 2021 года


  1. Об­наруже­на круп­ная утеч­ка кон­тента для взрос­лых с плат­формы OnlyFans. Дамп содер­жит матери­алы 279 соз­дателей кон­тента, при­чем боль­шая часть матери­алов датиро­вана октябрем 2020 года.


  2. Ис­ходные коды игр и фай­лы CD Projekt Red про­даны в дар­кне­те без аук­циона. «Блиц‑цена» сос­тавля­ла 7 мил­лионов дол­ларов, но, похоже, хакерам пос­тупило еще более выгод­ное пред­ложение.


  3. Не пре­успев в получе­нии выкупа, хакеры опуб­ликова­ли укра­ден­ные у EA дан­ные. Сре­ди них — исходни­ки сер­вера для поис­ка мат­чей FIFA, API-клю­чи, исходни­ки движ­ка FrostBite и инс­тру­мен­ты раз­работ­ки.


  4. Че­рез нес­коль­ко дней пос­ле запус­ка из Gettr утек­ли дан­ные поль­зовате­лей. Хакер заод­но дефей­снул акка­унты извес­тных рес­публи­кан­цев.


  5. Спи­сок подоз­рева­емых в тер­рориз­ме лиц, за которы­ми наб­люда­ет ФБР, утек в сеть. БД содер­жит 1,9 мил­лиона записей, в том чис­ле сек­ретные спис­ки No Fly List.


За год с опе­раци­ями вымога­телей были свя­заны бит­койн‑тран­закции на сум­му око­ло 5,2 мил­лиар­да дол­ларов.
 

Исследование года


 

Dependency confusion


По­мимо взло­мов, уте­чек дан­ных, обна­руже­ния опас­ных багов и скан­далов вок­руг оче­ред­ных NFT, в ИТ‑сооб­щес­тве есть и более созида­тель­ная активность, а так­же люди, которые пос­вяща­ют свое вре­мя иссле­дова­ниям, написа­нию науч­ных ста­тей, док­ладов и инте­рес­ных ресер­чей. Яркий при­мер — ата­ка на цепоч­ку пос­тавок, получив­шая наз­вание dependency confusion, о которой в этом году миру поведал ИБ‑эксперт Алекс Бир­сан (Alex Birsan).


За обна­руже­ние это­го спо­соба атак иссле­дова­тель получил от раз­личных ком­паний более 130 тысяч дол­ларов по прог­раммам bug bounty. Так, исполь­зуя эту проб­лему, спе­циалист сумел заг­рузить собс­твен­ный (без­вред­ный) код в сис­темы Microsoft, Apple, PayPal, Shopify, Netflix, Yelp, Tesla, Uber и дру­гих ком­паний.


Другие важные исследования 2021 года


  1. Ис­сле­дова­тели научи­лись обхо­дить PIN-коды для карт Mastercard и Maestro. Они успешно про­тес­тирова­ли ата­ку, выпол­нив тран­закции на сум­му до 400 швей­цар­ских фран­ков.


  2. Ал­горит­мы шиф­рования 2G-сетей были намерен­но ослабле­ны. Они по‑преж­нему исполь­зуют­ся в мобиль­ных сетях, и уяз­вимость поз­воля­ет сле­дить за тра­фиком поль­зовате­лей.


  3. Уче­ные счи­тают, что про­межу­точ­ные устрой­ства мож­но исполь­зовать для мас­штаб­ных DDoS-атак. Иссле­дова­тели наш­ли спо­соб исполь­зовать для ампли­фика­ции про­токол TCP.


  4. DuckDuckGo пре­дуп­режда­ет, что отказ от сто­рон­них cookie не меша­ет бра­узер­ной слеж­ке. В ком­пании счи­тают, что обсужда­емый план Google по отка­зу от сто­рон­них cookie не даст реаль­ного выиг­рыша в при­ват­ности.


  5. Мок­си Мар­лин­спайк про­демонс­три­ровал миру уяз­вимость инс­тру­мен­тов Cellebrite. Соз­датель Signal обна­ружил ряд проб­лем в работе инс­тру­мен­тов для взло­ма мобиль­ных телефо­нов.


Сто­имость бит­кой­на в 2021 году уста­нови­ла новый рекорд и дос­тигла 67 000 дол­ларов. Прав­да, сей­час крип­товалю­та тор­гует­ся на уров­не 50 000 дол­ларов.
 

Уязвимость года


 

Log4Shell


Что­бы перечис­лить все сколь‑нибудь замет­ные баги ухо­дяще­го года, нам, пожалуй, не хва­тит и отдель­ной статьи. К сожале­нию, дыры находят вез­де и пос­тоян­но, начиная от отдель­ных биб­лиотек и закан­чивая железом.


На этот раз самой мас­штаб­ной проб­лемой мож­но наз­вать RCE-уяз­вимость Log4Shell, обна­ружен­ную в кон­це года в популяр­ной биб­лиоте­ке жур­налиро­вания Log4j. Дело в том, что слож­но най­ти ком­панию, сайт или при­ложе­ние, которые вов­се не исполь­зуют потен­циаль­но уяз­вимые про­дук­ты.


Другие нашумевшие баги 2021 года


  1. Ата­ка PetitPotam поз­воля­ет зах­ватить кон­трол­лер домена в Windows. Проб­лема воз­ника­ет в ходе зло­упот­ребле­ния про­токо­лом MS-EFSRPC. К счастью, ата­ку нель­зя исполь­зовать через интернет.


  2. Баг Sequoia поз­воля­ет получить root-дос­туп к боль­шинс­тву Linux-сис­тем. При соз­дании, мон­тирова­нии и пос­леду­ющем уда­лении струк­туры катало­гов очень боль­шой вло­жен­ности воз­ника­ет баг чте­ния out-of-bounds.


  3. Microsoft боль­ше месяца боролась с проб­лемой PrintNightmare в служ­бе Windows Print Spooler. Пер­вые известия о ней появи­лись в кон­це июня, а окон­чатель­но зак­рыли ее толь­ко в середи­не сен­тября.


  4. Баг в Steam поз­волял попол­нять кошелек любыми сум­мами. Для мошен­ничес­кого попол­нения балан­са нуж­но было изме­нить email-адрес на любой, содер­жащий стро­ку amount100.


  5. Ата­ка Trojan Source опас­на для ком­пилято­ров боль­шинс­тва язы­ков прог­рамми­рова­ния. Она осно­вана на исполь­зовании управля­ющих сим­волов в ком­мента­риях к исходно­му коду.


www


Спи­сок самых ата­куемых уяз­вимос­тей 2020–2021 годов по вер­сии ФБР, CISA, ACSC и NCSC мож­но уви­деть здесь.



 

Блокировка года


 

Запрет Tor в России


К сожале­нию, 2021 год запом­нится мно­гим как вре­мя, ког­да в Рос­сии на­чали бло­киро­вать Tor. Пред­ста­вите­ли Рос­комнад­зора сооб­щили, что осно­вани­ем для бло­киров­ки ста­ло «раз­мещение на ука­зан­ном сай­те информа­ции, обес­печива­ющей работу средств, пре­дос­тавля­ющих дос­туп к про­тивоп­равно­му кон­тенту».


По сос­тоянию на конец декаб­ря 2021 года под­клю­чение к пуб­личным узлам по‑преж­нему не работа­ет, и раз­работ­чики Tor Project рекомен­дуют исполь­зовать мос­ты.


Другие новости блокировок 2021 года


  1. Рос­комнад­зор заб­локиро­вал VyprVPN и Opera VPN. При­чина — несоб­людение ими закона 2017 года о недопус­ке поль­зовате­лей к заб­локиро­ван­ным в РФ сай­там.


  2. Уче­ные обна­ружи­ли скры­тый слой «Велико­го китай­ско­го фай­рво­ла». Рань­ше он пред­став­лялся спе­циалис­там еди­ным целым, но теперь ста­новит­ся ясно, что он сос­тоит из незави­симых ком­понен­тов.


  3. Рос­комнад­зор начал замед­лять работу Twitter в Рос­сии. Замед­ление работы соци­аль­ной сети не огра­ничи­вает переда­чу тек­сто­вых сооб­щений, а зат­рагива­ет толь­ко фото- и виде­окон­тент.


  4. Рос­комнад­зор заб­локиро­вал ряд VPN-сер­висов. В спис­ке: HolaVPN, ExpressVPN, KeepSolid VPN Unlimited, Nord VPN, Speedify VPN, IPVanish VPN.


  5. Рос­сий­ский суд наложил обо­рот­ные штра­фы на ком­пании Google и Meta.За неуда­ление зап­рещен­ной информа­ции ком­пани­ям гро­зит штраф от 800 тысяч до 4 мил­лионов руб­лей.


Поль­зовате­ли RuTracker соб­рали более 2 000 000 руб­лей для сох­ранения ред­ких раз­дач. Средс­тва от этой кам­пании пой­дут на покуп­ку жес­тких дис­ков.
 

Нарушитель приватности года


 

Android


Как ког­да‑то писал Даня Шепова­лов: «За мной сле­дят со спут­ника. При­дет­ся всех убить». Увы, в сов­ремен­ном мире за нами дей­стви­тель­но сле­дят вез­де: через смар­тфо­ны, тре­керы в бра­узе­рах, камеры виде­онаб­людения и так далее. Нап­ример, свод­ная груп­па иссле­дова­телей из нес­коль­ких бри­тан­ских уни­вер­ситетов об­наружи­ла мно­жес­тво проб­лем с кон­фиден­циаль­ностью, воз­ника­ющих при исполь­зовании смар­тфо­нов на Android.


Ис­сле­дова­ние показа­ло, что кон­фиден­циаль­ные дан­ные поль­зовате­лей, вклю­чая пос­тоян­ные иден­тифика­торы, све­дения об исполь­зовании при­ложе­ний и телемет­рию, переда­ются не толь­ко про­изво­дите­лям устрой­ств (Samsung, Xiaomi, Realme и Huawei), но и раз­личным треть­им сто­ронам.


Другие важные новости приватности в 2021 году


  1. DuckDuckGo запус­тил поч­товый сер­вис, помога­ющий изба­вить­ся от тре­керов в пись­мах. Поль­зовате­ли сер­виса получа­ют бес­плат­ный адрес на @duck.com, где пись­ма очи­щают­ся от тре­керов, пос­ле чего пересы­лают­ся в обыч­ный поч­товый ящик.


  2. Google собира­ет в 20 раз боль­ше телемет­рии с Android, чем Apple с iOS. Обе сис­темы отправ­ляют дан­ные, даже если не логинить­ся.


  3. В LastPass для Android наш­ли семь встро­енных тре­керов. Собира­емые дан­ные переда­ют мар­кетин­говым агентствам в целях монети­зации при­ложе­ния.


  4. Раз­работ­чики Vivaldi и Brave отка­зались исполь­зовать FLoC от Google, приз­ванный заменить сто­рон­ние cookie. Фун­кция Federated Learning of Cohorts встре­тила мощ­ный отпор со сто­роны защит­ников при­ват­ности.


  5. ProtonMail рас­крыл IP-адрес акти­вис­та пра­воох­ранитель­ным орга­нам. Отдель­ный при­каз о нераз­гла­шении информа­ции не поз­волил ком­пании вов­ремя уве­домить поль­зовате­ля о про­исхо­дящем.


Дос­туп к кор­поратив­ным сетям в дар­кне­те в сред­нем сто­ит 7100 дол­ларов.
 

Малварь года


 

Pegasus


Как уже было отме­чено в начале это­го тек­ста, в сети пос­тоян­ного кого‑нибудь лома­ют, в про­даже появ­ляет­ся новая мал­варь, а пра­воох­раните­ли регуляр­но сооб­щают об оче­ред­ной серии арес­тов учас­тни­ков оче­ред­ной хак‑груп­пы. В этом году вни­мание общес­твен­ности было прив­лечено к шпи­онской мал­вари Pegasus про­изводс­тва изра­иль­ской ком­пании NSO Group.


Де­ло в том, что летом 2021 года пра­воза­щит­ная орга­низа­ция Amnesty International, неком­мерчес­кий про­ект Forbidden Stories, а так­же более 80 жур­налис­тов кон­сорци­ума из 17 меди­аор­ганиза­ций в десяти стра­нах мира опуб­ликова­ли резуль­таты сов­мес­тно­го рас­сле­дова­ния, пос­вящен­ного «Пегасу». Пос­ле этой пуб­ликации Pegasus получил широкую извес­тность за пре­дела­ми ИБ‑сооб­щес­тва, а у NSO Group воз­никли проб­лемы.


Другие вредоносы 2021 года


  1. SteamHide пря­чет мал­варь в изоб­ражени­ях в про­филях Steam. Мал­варь зап­рашива­ет кар­тинки из Steam и изме­няет свой код на тот, что спря­тан в них.


  2. Арес­тована граж­данка Лат­вии, подоз­рева­емая в раз­работ­ке TrickBot. Она не стре­милась скрыть свою лич­ность и даже раз­мещала на лич­ном сай­те вер­сии TrickBot, находя­щиеся в раз­работ­ке.


  3. Раз­работ­чики мал­вари все чаще исполь­зуют необыч­ные язы­ки прог­рамми­рова­ния. Речь идет о таких язы­ках, как Go, D, Nim и Rust.


  4. Ев­ропол: арес­тованы 12 хакеров, ответс­твен­ные за 1800 вымога­тель­ских атак. Подоз­рева­емые вхо­дили в сос­тав про­фес­сиональ­ной прес­тупной груп­пы и ата­кова­ли круп­ные ком­пании с помощью шиф­роваль­щиков.


  5. Telegram-боты помог­ли прод­винуть на Запад мошен­ничес­кую схе­му с курь­ерски­ми сер­висами. Зло­умыш­ленни­ки раз­меща­ют объ­явле­ния о про­даже товаров по выгод­ным ценам и отправ­ляют через мес­сен­джер фей­ковую ссыл­ку на опла­ту дос­тавки.


Крупнейшие выкупы

  • К сожале­нию, ата­ки шиф­роваль­щиков по‑преж­нему пред­став­ляют огромную проб­лему. Но если нес­коль­ко лет назад от них стра­дали рядовые поль­зовате­ли, теперь хакеры ата­куют круп­ные ком­пании и вымога­ют у пос­тра­дав­ших огромные сум­мы в качес­тве выкупа за рас­шифров­ку дан­ных.


  • Аме­рикан­ская стра­ховая кор­порация CNA вып­латила опе­рато­рам шиф­роваль­щика Phoenix 40 000 000 дол­ларов в крип­товалю­те.


  • Круп­ней­ший в мире про­изво­дитель говяди­ны — ком­пания JBS Foods зап­латила неиз­вес­тной хакер­ской груп­пиров­ке 11 000 000 дол­ларов.


  • Так­же в этом году хак‑груп­па Revil тре­бова­ла 70 000 000 дол­ларов от ком­пании Kaseya, но руководс­тво пос­тавщи­ка MSP-решений пла­тить отка­залось.



 

Хардверный взлом года


 

Атака на PlayStation 5


Так как мы не Wylsacom, регуляр­ными обзо­рами гад­жетов пох­вастать­ся не можем. Одна­ко мы никог­да не упус­каем слу­чая рас­ска­зать об инте­рес­ных желез­ках, аппа­рат­ных уяз­вимос­тях и дру­гих хад­рвер­ных новос­тях.


Осенью 2021 года извес­тная хакер­ская коман­да Fail0verflow сооб­щила, что приб­лизилась к взло­му PlayStation 5. Учас­тни­ки груп­пы доб­рались до всех кор­невых клю­чей кон­соли и показа­ли рас­шифро­ван­ный файл про­шив­ки PS5, где был выделен код, отно­сящий­ся к безопас­ному заг­рузчи­ку (secure loader). В теории ана­лиз рас­шифро­ван­ной про­шив­ки поможет Fail0verflow (и дру­гим хакерам) отре­вер­сить код и соз­дать кас­томную про­шив­ку с воз­можностью заг­рузки на PS5 сто­рон­него ПО.


Другие новости железа за 2021 год


  1. Пред­став­лена Raspberry Pi Zero 2 W: в пять раз быс­трее и на пять дол­ларов дороже. Новый мик­рокомпь­ютер осно­ван на чипах Raspberry Pi 3.


  2. Nvidia огра­нила май­нин­говую про­изво­дитель­ность RTX 3080, 3070 и 3060 Ti. Эта ини­циати­ва дол­жна вдвое понизить хеш­рейт для май­нин­га Ethereum на новых виде­окар­тах.


  3. В чипах Apple M1 обна­ружен пер­вый баг, получив­ший имя M1RACLES. Но даже сам эксперт счи­тает экс­плу­ата­цию этой ошиб­ки малове­роят­ной.


  4. Western Digital незамет­но замед­лила бюд­жетный SSD WD Blue SN550 на 40%. Ком­пания изме­нила про­шив­ку устрой­ства и его ком­плек­тацию, не сооб­щив об этом никому.


  5. В про­даже замечен инс­тру­мент для сок­рытия мал­вари в гра­фичес­ких про­цес­сорах AMD и Nvidia. Экс­пло­ит работа­ет в Windows с под­дер­жкой OpenCL 2.0 и про­верен на виде­окар­тах Intel UHD 620/630, Radeon RX 5700 и GeForce GTX 740M и 1650.


Крип­товалют­ные мошен­ники «зарабо­тали» око­ло 7,7 мил­лиар­да дол­ларов за год. Убыт­ки пос­тра­дав­ших воз­росли на 81% по срав­нению с 2020 годом.
 

Пикантная новость года


 

Закрытие Freedom Hosting


Как извес­тно — Internet is for porn, а зна­чит, под­водя ито­ги года, мы никак не можем обой­ти сто­роной темы «для взрос­лых». Увы, самая гром­кая новость это­го года, свя­зан­ная с пор­ногра­фией, была сов­сем не забав­ной (веселые новос­ти 18+ перечис­лены ниже) и касалась дет­ско­го пор­но: быв­ший опе­ратор Freedom Hosting был при­гово­рен к 27 годам тюрь­мы.


Эта ком­пания пре­дос­тавля­ла услу­ги дар­кнет‑хос­тинга более чем 200 сай­там, на которых раз­мещались матери­алы, свя­зан­ные с экс­плу­ата­цией детей и сек­суаль­ным насили­ем над малолет­ними.


Другие новости 2021 года, связанные с «клубничкой»


  1. Вы­мога­тели взла­мыва­ют муж­ские пояса вер­ности. API ока­зал­ся не защищен паролем и открыт любому жела­юще­му зах­ватить кон­троль над устрой­ством.


  2. ESET пре­дуп­режда­ет о небезо­пас­ности секс‑игру­шек. Информа­ция, обра­баты­ваемая секс‑игрушка­ми, — нас­тоящий кла­дезь для вымога­телей.


  3. Спа­мер засыпал форум вымога­теля Babuk гей‑пор­но. Вла­делец форума перед этим отка­зал­ся пла­тить вымога­телю 5000 дол­ларов.


  4. Из‑за зах­вата домена на круп­ных новос­тных сай­тах показа­ли пор­но. Читате­ли The Washington Post, New York Magazine, HuffPost уви­дели пор­но вмес­то видео в стать­ях.


  5. Пра­витель­ствен­ные и воен­ные сай­ты рас­простра­няли пор­но и рек­ламиро­вали виаг­ру. ПО Laserfiche Forms содер­жит уяз­вимость, которая поз­воля­ет зло­умыш­ленни­кам раз­мещать вре­донос­ный и спа­мер­ский кон­тент на авто­ритет­ных государс­твен­ных ресур­сах.


Ко­личес­тво DDoS-атак на рос­сий­ские ком­пании уве­личи­лось в 2,5 раза по срав­нению с ана­логич­ным пери­одом прош­лого года, а их сред­няя мощ­ность воз­росла на 26%.
 

Фейл года


 

Попытка заблокировать 127.0.0.1


Приз за самый эпич­ный фейл года есть даже сре­ди наг­рад извес­тной пре­мии Pwnie Awards (кста­ти, в этом году ее удос­тоилась ком­пания Microsoft за дол­гие и безус­пешные попыт­ки спра­вить­ся с уяз­вимос­тями PrintNightmare). Мы, конеч­но, тоже не мог­ли не вспом­нить самые гром­кие про­валы и курь­езы года, ведь, читая некото­рые новос­ти, неволь­но дума­ешь: «но ведь на кален­даре не пер­вое апре­ля».


Са­мым забав­ным, на наш взгляд, в этом году стал слу­чай, ког­да анти­пира­ты поп­росили Google заб­локиро­вать 127.0.0.1. Отли­чилась фир­ма Vindex, пред­став­ляющая инте­ресы ТРК «Укра­ина». Она нап­равила Google стран­ный зап­рос на уда­ление кон­тента из поис­ковой выдачи. Один из адре­сов, наруша­ющих пра­ва ТРК «Укра­ина», ука­зывал на 127.0.0.1, то есть анти­пира­ты наш­ли зап­рещен­ный кон­тент в собс­твен­ных сис­темах.


Другие мощные неудачи 2021 года


  1. Раз­работ­чик мал­вари Raccoon заразил свою сис­тему и слил собс­твен­ные дан­ные. Это обна­ружи­ли с помощью плат­формы Hudson Rock Cavalier, которая отсле­жива­ет взло­ман­ные машины.


  2. Не­извес­тный взло­мал Facebook-акка­унт эсминца USS Kidd и стри­мил Age of Empires. Зло­умыш­ленник никак не объ­яснял свои дей­ствия и лишь про­дол­жал играть, при­чем из рук вон пло­хо.


  3. Крип­товалют­ная плат­форма Compound слу­чай­но раз­дала поль­зовате­лям 160 мил­лионов дол­ларов. Ненаме­рен­ная раз­дача Ethereum про­изош­ла из‑за бага в смарт‑кон­трак­те.


  4. Ха­кер­ский форум OGUsers взло­мали в чет­вертый раз. Вско­ре на кон­куриру­ющем хак‑форуме начали про­давать укра­ден­ную БД OGUsers за 3000 дол­ларов.


  5. Из‑за ата­ки шиф­роваль­щика в гол­ланд­ских магази­нах закон­чился сыр. Сот­рудни­ки пос­тавщи­ка, потеряв дос­туп к базе, не мог­ли най­ти товары на скла­де и пла­ниро­вать перевоз­ки.


Чем еще запомнится 2021 год

  • В этом году наконец была окон­чатель­но прек­ращена под­дер­жка Adobe Flash Player. Из‑за это­го воз­никли сбои на желез­ной дороге в Китае, а влас­ти ЮАР соз­дали собс­твен­ный бра­узер, что­бы про­дол­жать исполь­зовать уста­рев­шую тех­нологию.


  • Ле­том 2021 года Джон Макафи был най­ден мер­твым в тюрем­ной камере. Ранее осно­ватель ком­пании McAfee, один из пионе­ров в сфе­ре анти­вирус­ного ПО, а в пос­ледние годы извес­тный крип­товалют­ный энту­зиаст Макафи был арес­тован осенью 2020 года за укло­нение от упла­ты налогов и наруше­ние закона о цен­ных бумагах.


  • Пра­воох­раните­ли от­читались о лик­видации бот­нета Emotet и про­веден­ной спе­цопе­рации бес­пре­цеден­тно­го мас­шта­ба. Ста­рани­ями ИБ‑экспер­тов мал­варь даже са­моунич­тожилась на всех заражен­ных машинах. Увы, пос­ле это­го затишье дли­лось недол­го: в нояб­ре 2021 года Emotet вер­нулся в строй и набира­ет обо­роты.


  • Ком­пания Microsoft вы­пус­тила собс­твен­ный дис­три­бутив Linux. Иро­нич­но, ведь двад­цать лет назад, в 2001 году, Стив Бал­лмер называл Linux раковой опу­холью индус­трии, а в наши дни Microsoft явля­ется одним из наибо­лее активных учас­тни­ков опен­сор­сных про­ектов в мире и вла­деет GitHub.


  • В кон­це сен­тября осно­ватель и гла­ва ком­пании Group-IB Илья Сач­ков был задер­жан по подоз­рению в госиз­мене, а в офи­сах ком­пании прош­ли обыс­ки. В нас­тоящее вре­мя Сач­ков по‑преж­нему находит­ся в СИЗО, а матери­алы уго­лов­ного дела засек­речены. Руководс­тво ком­пани­ей вре­мен­но взял на себя вто­рой осно­ватель Group-IB Дмит­рий Вол­ков.



Colonial Pipeline (круп­ней­ший в США опе­ратор тру­боп­роводов) и Kaseya (пос­тавщик MSP-решений), ата­кован­ные шиф­роваль­щиками. Ата­ка на Colonial Pipeline, из‑за которой в ряде шта­тов был вве­ден режим ЧС, ста­ла той самой соломин­кой, спо­соб­ной перело­мить спи­ну вер­блю­да: вни­мание пра­воох­ранитель­ных орга­нов к шиф­роваль­щикам уси­лилось, а на боль­шинс­тве хакер­ских форумов вооб­ще пос­пешили зап­ретить рек­ламу вымога­тель­ско­го ПО. Другие громкие взломы 2021 года Ком­пания «Яндекс» подели­лась под­робнос­тями круп­ней­шей DDoS-ата­ки в исто­рии рунета. Мощ­ность ата­ки сос­тавля­ла более 20 мил­лионов зап­росов в секун­ду, и за ней сто­ял бот­нет Mēris. Ис­сле­дова­тель получил дос­туп к тысячам камер наб­людения РЖД. Спе­циалис­ты РЖД свя­зались с ним и зак­рыли най­ден­ные уяз­вимос­ти. Не­извес­тные взло­мали чат‑бота на пор­тале Госус­луг. По сети гуляли скрин­шоты, где бот называ­ет QR-коды «частью замыс­лов мирово­го пра­витель­ства по сег­регации населе­ния». Ха­керы ском­про­мети­рова­ли поч­товый сер­вер ФБР и разос­лали фей­ковые пре­дуп­режде­ния о кибера­таках. Они вос­поль­зовались уяз­вимостью поч­тового сер­вера. Ха­кер изме­нил химичес­кий сос­тав пить­евой воды в неболь­шом городе. Он получил дос­туп к сис­теме водо­очис­титель­ных соору­жений через TeamViewer на компь­юте­ре сот­рудни­ка. DDoS-рекорды года С каж­дым годом DDoS-ата­ки ста­новят­ся все мощ­нее. В 2021 году было уста­нов­лено сра­зу нес­коль­ко таких «рекор­дов». Бот­нет Mēris ата­ковал Яндекс, Хабр и мно­жес­тво дру­гих сай­тов и ком­паний. Пиковая мощ­ность этих атак сос­тавила 17 200 000 и 21 800 000 зап­росов в секун­ду. Microsoft спра­вилась с рекор­дной DDoS-ата­кой на 2,4 Тбит/с, нап­равлен­ной на неназ­ванно­го евро­пей­ско­го кли­ента плат­формы Azure. DDoS-ата­ка исполь­зовала при­мер­но 70 000 ботов, в основном из Ази­атско‑Тихо­океан­ско­го реги­она (Малай­зия, Вьет­нам, Тай­вань, Япо­ния и Китай), а так­же из Соеди­нен­ных Шта­тов. Утечки года Twitch и Facebook В наше вре­мя защитить свои дан­ные от уте­чек воз­можно лишь одним спо­собом — не делить­ся ими ни с кем. В про­тив­ном слу­чае в один не слиш­ком прек­расный момент твоя лич­ная информа­ция может ока­зать­ся в про­даже на одном каком‑нибудь форуме дар­кне­та. К при­меру, в этом году с подоб­ными проб­лемами приш­лось стол­кнуть­ся стри­мерам Twitch, 533 мил­лионам поль­зовате­лей Facebook. Лю­бопыт­но, что пос­ле утеч­ки дан­ных о доходах стри­меров жур­налис­ты обна­ружи­ли слож­ную схе­му по отмы­ванию денег через сер­вис. Ока­залось, день­ги прес­тупни­ков про­ходят через турец­ких стри­меров в фор­мате пожер­тво­ваний. Другие утечки 2021 года Об­наруже­на круп­ная утеч­ка кон­тента для взрос­лых с плат­формы OnlyFans. Дамп содер­жит матери­алы 279 соз­дателей кон­тента, при­чем боль­шая часть матери­алов датиро­вана октябрем 2020 года. Ис­ходные коды игр и фай­лы CD Projekt Red про­даны в дар­кне­те без аук­циона. «Блиц‑цена» сос­тавля­ла 7 мил­лионов дол­ларов, но, похоже, хакерам пос­тупило еще более выгод­ное пред­ложение. Не пре­успев в получе­нии выкупа, хакеры опуб­ликова­ли укра­ден­ные у EA дан­ные. Сре­ди них — исходни­ки сер­вера для поис­ка мат­чей FIFA, API-клю­чи, исходни­ки движ­ка FrostBite и инс­тру­мен­ты раз­работ­ки. Че­рез нес­коль­ко дней пос­ле запус­ка из Gettr утек­ли дан­ные поль­зовате­лей. Хакер заод­но дефей­снул акка­унты извес­тных рес­публи­кан­цев. Спи­сок подоз­рева­емых в тер­рориз­ме лиц, за которы­ми наб­люда­ет ФБР, утек в сеть. БД содер­жит 1,9 мил­лиона записей, в том чис­ле сек­ретные спис­ки No Fly List. За год с опе­раци­ями вымога­телей были свя­заны бит­койн‑тран­закции на сум­му око­ло 5,2 мил­лиар­да дол­ларов. Исследование года Dependency confusion По­мимо взло­мов, уте­чек дан­ных, обна­руже­ния опас­ных багов и скан­далов вок­руг оче­ред­ных NFT, в ИТ‑сооб­щес­тве есть и более созида­тель­ная активность, а так­же люди, которые пос­вяща­ют свое вре­мя иссле­дова­ниям, написа­нию науч­ных ста­тей, док­ладов и инте­рес­ных ресер­чей. Яркий при­мер — ата­ка на цепоч­ку пос­тавок, получив­шая наз­вание dependency confusion, о которой в этом году миру поведал ИБ‑эксперт Алекс Бир­сан (Alex Birsan). За обна­руже­ние это­го спо­соба атак иссле­дова­тель получил от раз­личных ком­паний более 130 тысяч дол­ларов по прог­раммам bug bounty. Так, исполь­зуя эту проб­лему, спе­циалист сумел заг­рузить собс­твен­ный (без­вред­ный) код в сис­темы Microsoft, Apple, PayPal, Shopify, Netflix, Yelp, Tesla, Uber и дру­гих ком­паний. Другие важные исследования 2021 года Ис­сле­дова­тели научи­лись обхо­дить PIN-коды для карт Mastercard и Maestro. Они успешно про­тес­тирова­ли ата­ку, выпол­нив тран­закции на сум­му до 400 швей­цар­ских фран­ков. Ал­горит­мы шиф­рования 2G-сетей были намерен­но ослабле­ны. Они по‑преж­нему исполь­зуют­ся в мобиль­ных сетях, и уяз­вимость поз­воля­ет сле­дить за тра­фиком поль­зовате­лей. Уче­ные счи­тают, что про­межу­точ­ные устрой­ства мож­но исполь­зовать для мас­штаб­ных DDoS-атак. Иссле­дова­тели наш­ли спо­соб исполь­зовать для ампли­фика­ции про­токол TCP. DuckDuckGo пре­дуп­режда­ет, что отказ от сто­рон­них cookie не меша­ет бра­узер­ной слеж­ке. В ком­пании счи­тают, что обсужда­емый план Google по отка­зу от сто­рон­них cookie не даст реаль­ного выиг­рыша в при­ват­ности. Мок­си Мар­лин­спайк про­демонс­три­ровал миру уяз­вимость инс­тру­мен­тов Cellebrite. Соз­датель Signal обна­ружил ряд проб­лем в работе инс­тру­мен­тов для взло­ма мобиль­ных телефо­нов. Сто­имость бит­кой­на в 2021 году уста­нови­ла новый рекорд и дос­тигла 67 000 дол­ларов. Прав­да, сей­час крип­товалю­та тор­гует­ся на уров­не 50 000 дол­ларов. Уязвимость года Log4Shell Что­бы перечис­лить все сколь‑нибудь замет­ные баги ухо­дяще­го года, нам, пожалуй, не хва­тит и отдель­ной статьи. К сожале­нию, дыры находят вез­де и пос­тоян­но, начиная от отдель­ных биб­лиотек и закан­чивая железом. На этот раз самой мас­штаб­ной проб­лемой мож­но наз­вать RCE-уяз­вимость Log4Shell, обна­ружен­ную в кон­це года в популяр­ной биб­лиоте­ке жур­налиро­вания Log4j. Дело в том, что слож­но най­ти ком­панию, сайт или при­ложе­ние, которые вов­се не исполь­зуют потен­циаль­но уяз­вимые про­дук­ты. Другие нашумевшие баги 2021 года Ата­ка PetitPotam поз­воля­ет зах­ватить кон­трол­лер домена в Windows. Проб­лема воз­ника­ет в ходе зло­упот­ребле­ния про­токо­лом MS-EFSRPC. К счастью, ата­ку нель­зя исполь­зовать через интернет. Баг Sequoia поз­воля­ет получить root-дос­туп к боль­шинс­тву Linux-сис­тем. При соз­дании, мон­тирова­нии и пос­леду­ющем уда­лении струк­туры катало­гов очень боль­шой вло­жен­ности воз­ника­ет баг чте­ния out-of-bounds. Microsoft боль­ше месяца боролась с проб­лемой PrintNightmare в служ­бе Windows Print Spooler. Пер­вые известия о ней появи­лись в кон­це июня, а окон­чатель­но зак­рыли ее толь­ко в середи­не сен­тября. Баг в Steam поз­волял попол­нять кошелек любыми сум­мами. Для мошен­ничес­кого попол­нения балан­са нуж­но было изме­нить email-адрес на любой, содер­жащий стро­ку amount100. Ата­ка Trojan Source опас­на для ком­пилято­ров боль­шинс­тва язы­ков прог­рамми­рова­ния. Она осно­вана на исполь­зовании управля­ющих сим­волов в ком­мента­риях к исходно­му коду. www Спи­сок самых ата­куемых уяз­вимос­тей 2020–2021 годов по вер­сии ФБР, CISA, ACSC и NCSC мож­но уви­деть здесь. Блокировка года Запрет Tor в России К сожале­нию, 2021 год запом­нится мно­гим как вре­мя, ког­да в Рос­сии на­чали бло­киро­вать Tor. Пред­ста­вите­ли Рос­комнад­зора сооб­щили, что осно­вани­ем для бло­киров­ки ста­ло «раз­мещение на ука­зан­ном сай­те информа­ции, обес­печива­ющей работу средств, пре­дос­тавля­ющих дос­туп к про­тивоп­равно­му кон­тенту». По сос­тоянию на конец декаб­ря 2021 года под­клю­чение к пуб­личным узлам по‑преж­нему не работа­ет, и раз­работ­чики Tor Project рекомен­дуют исполь­зовать мос­ты. Другие новости блокировок 2021 года Рос­комнад­зор заб­локиро­вал VyprVPN и Opera VPN. При­чина — несоб­людение ими закона 2017 года о недопус­ке поль­зовате­лей к заб­локиро­ван­ным в РФ сай­там. Уче­ные обна­ружи­ли скры­тый слой «Велико­го китай­ско­го фай­рво­ла». Рань­ше он пред­став­лялся спе­циалис­там еди­ным целым, но теперь ста­новит­ся ясно, что он сос­тоит из незави­симых ком­понен­тов. Рос­комнад­зор начал замед­лять работу Twitter в Рос­сии. Замед­ление работы соци­аль­ной сети не огра­ничи­вает переда­чу тек­сто­вых сооб­щений, а зат­рагива­ет толь­ко фото- и виде­окон­тент. Рос­комнад­зор заб­локиро­вал ряд VPN-сер­висов. В спис­ке: HolaVPN, ExpressVPN, KeepSolid VPN Unlimited, Nord VPN, Speedify VPN, IPVanish VPN. Рос­сий­ский суд наложил обо­рот­ные штра­фы на ком­пании Google и Meta.За неуда­ление зап­рещен­ной информа­ции ком­пани­ям гро­зит штраф от 800 тысяч до 4 мил­лионов руб­лей. Поль­зовате­ли RuTracker соб­рали более 2 000 000 руб­лей для сох­ранения ред­ких раз­дач. Средс­тва от этой кам­пании пой­дут на покуп­ку жес­тких дис­ков. Нарушитель приватности года Android Как ког­да‑то писал Даня Шепова­лов: «За мной сле­дят со спут­ника. При­дет­ся всех убить». Увы, в сов­ремен­ном мире за нами дей­стви­тель­но сле­дят вез­де: через смар­тфо­ны, тре­керы в бра­узе­рах, камеры виде­онаб­людения и так далее. Нап­ример, свод­ная груп­па иссле­дова­телей из нес­коль­ких бри­тан­ских уни­вер­ситетов об­наружи­ла мно­жес­тво проб­лем с кон­фиден­циаль­ностью, воз­ника­ющих при исполь­зовании смар­тфо­нов на Android. Ис­сле­дова­ние показа­ло, что кон­фиден­циаль­ные дан­ные поль­зовате­лей, вклю­чая пос­тоян­ные иден­тифика­торы, све­дения об исполь­зовании при­ложе­ний и телемет­рию, переда­ются не толь­ко про­изво­дите­лям устрой­ств (Samsung, Xiaomi, Realme и Huawei), но и раз­личным треть­им сто­ронам. Другие важные новости приватности в 2021 году DuckDuckGo запус­тил поч­товый сер­вис, помога­ющий изба­вить­ся от тре­керов в пись­мах. Поль­зовате­ли сер­виса получа­ют бес­плат­ный адрес на @duck.com, где пись­ма очи­щают­ся от тре­керов, пос­ле чего пересы­лают­ся

Теги: CSS

Просмотров: 520
Комментариев: 0:   1-01-2022, 00:01
Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь. Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

 
Еще новости по теме:



Другие новости по теме: