Очередное исследование 19 миллиардов паролей показало, что с ними по-прежнему все плохо // dl // 02.05.25 20:42
Анализ 19 миллиардов паролей, утекших за последний год, в очередной раз продемонстрировал, что пользователи ничему не учатся. Большинство людей (42%) использует пароли длиной 8-10 символов, причем чаще 8, чем 10. Практически треть (27%) использует пароли только из цифр и букв нижнего регистра (и на самом деле это нормально).

Традиционно первое место с 4% (более 727 миллионов) удерживает "1234". Чуть отстает с 338 миллионами "123456". Большой проблемой остаются пароли по умолчанию — "password" и "admin" встречаются 56 и 53 миллиона раз соответственно.
Источник: Cybernews

Оптимизация ввода-вывода как инструмент обхода антивирусов // dl // 30.04.25 23:29
Представленный в 2019 году в Linux 5.1 асинхронный интерфейс io_uring предназначен для оптимизации операций ввода-вывода за счет буферизации пользовательских запросов к ядру и тем самым снижения числа переключений из пользовательского режима в режим ядра. Но внезапно выяснилось, что этот интерфейс позволяет прекрасно обходить мониторящие антивирусы, которые следят за системными вызовами. Ну как внезапно, первые публикации на тему потенциального использования io_uring в руткитах вышли еще три года назад, теперь же дело дошло до демонстрационного прототипа, получившего название Curing, который обошел таким образом стандартные конфигурации Falco, Tetragon и Microsoft Defender.

Антивирусы теперь планируют помечать конфигурации с разрешенным io_uring как потенциально опасные, а пользователям предлагается запретить этот интерфейс с помощью команды sysctl -w kernel.io_uring_disabled=2. Причем именно это еще в середине 2023 года сделала Google, запретив его в ChromeOS и Android.
Источник: The Register

Зловреды выбирают Lisp и Delphi // dl // 30.03.25 23:26
Исследователи из Пирейского унверситета, Афинского исследовательского центра и Делфтского технического университета на днях опубликовали любопытный препринт «Coding Malware in Fancy Programming Languages for Fun and Profit». Как отмечается в исследовании, в текущей ситуации с обвальным появлением нового вредоносного кода (26 миллионов образцов только за начало 2025 года) одним из основных способов его идентификации остается статический анализ. Естественно, авторы зловредов это прекрасно знают и стараются по возможности применять всевозможные техники обфускации. И внезапно проще всего оказывается использовать не такой популярный язык, как традиционные C/C++. Так, недавний противоукраинский зловред от APT29 Masepie (видимо, Мазепа) был написан на Питоне, их же Zebrocy использует смесь Delphi, Python, C# и Go, Akira переехал с С++ на Rust, BlackByte с C# на Go и т.п. С одной стороны, здесь есть признаки наивного security through obscurity — чем меньше людей знают язык, тем сложней ожидать ручного распознавания,...»»
Источник: The Register

Уязвимости в Mongoose ставят под удар MongoDB // dl // 20.02.25 18:23
Библиотека Mongoose используется для интеграции MongoDB в Node.js-приложения, обеспечивая дополнительный уровень абстракции для отображения объектов JS в базы MongoDB. Две обнародованные сегодня (и уже закрытые сначала в актуальной версии) уязвимости приводят к классической SQL-инъекции (хотя для NOSQL базы звучит забавно) со всеми вытекающими последствиями вплоть до удаленного исполнения кода.
Источник: The Register

По роутерам Juniper расползается бэкдор, активирующийся "волшебным пакетом" // dl // 27.01.25 17:33
Исследователи из Black Lotus Labs сообщают о том, что с середины 2023 года ряд корпоративных роутеров Juniper с Junos OS, половина из которых была сконфигурирована как VPN-шлюз, тихо и незаметно заражается вариантом "невидимого" бэкдора cd00r, заточенного под максимально незаметное исполнение в атакованной системе. В отличие от традиционных бэкдоров, которые незатейливо открывают какой-нибудь порт и ожидают поступления команд, J-Magic мониторит стандартный трафик, проходящий через роутер, на предмет обнаружения "магического пакета", содержащего определенные значения в TCP-заголовке. Далее отправителю этого пакета отсылается случайная строка из пяти символов, зашифрованная публичным RSA-ключом, и если отправителю удается ее расшифровать и отправить роутеру для верификации, тот начинает выполнять удаленные команды.
Источник: The Register

Microsoft обещает радикально усилить безопасность Windows в следующем году // dl // 19.11.24 17:09
Традиционно любой крупный провал в области безопасности (будь то червь Морриса, эпидемия Blaster и т.п.) приводил серьезной перетряске устоявшихся правил и практик. Не исключением стала и летняя катастрофа с CrowdStrike, обрушившая 8 с лишним миллионов пользовательских компьютеров и серверов, что обошлось пострадавшим в не один миллиард долларов. Для предотвращения подобных инцидентов в будущем Microsoft выступила с инициативой Windows Resiliency. Самые заметные изменения, ожидаемые в следующем году, включают быстрое восстановление (Quick Machine Recovery) позволяющее удаленно вытащить систему из постоянной перезагрузки, и защиту администратора (Administrator Protection), требующую для выполнения критичных действий не просто подтверждения в диалоге, а биометрическую аутентификацию через Windows Hello либо ввода отдельного пин-кода. Наконец, включенный по умолчанию Smart App Control не даст запускать неизвестные приложения и скачанные из сети скрипты,...»»
Источник: ZDNet

Ядро Linux избавляется от российских мейнтейнеров // dl // 23.10.24 23:10
22 октября Грег Кроа-Хартман (Greg Kroah-Hartman), поддерживающий стабильную ветку ядра Linux, исключил из списка мейнтейнеров ядра 11 разработчиков, у 10 из которых по случайному стечению обстоятельств почтовые адреса заканчивались на .ru. Одиннадцатым был сотрудник «Байкал Электроникс» Сергей Сёмин, патчи которого отказались принимать еще в марте 2023 года с формулировкой «нам некомфортно принимать патчи от вашей организации». На этот раз причиной названы various compliance requirements (прекрасная формулировка, под которой может скрываться что угодно, от юридических требований до всё той же некомфортности). Проделано всё было без каких-либо предварительных объявлений или объяснений, сообщество узнало о случившемся просто из описания очередного патча. Тут надо понимать, что исключение из списка мейнтейнеров само по себе не ведёт к автоматическому исключению ранее одобренного этими мейнтейнерами кода, не лишает возможности отправлять патчи и т.п. Просто эти люди не будут упоминаться, как будто бы их никогда...»»
Источник: lore.kernel.org

20 лет Ubuntu // dl // 20.10.24 19:11
20 октября 2004 было объявлено о выходе первого релиза Ubuntu с кодовым именем The Warty Warthog (Бородавчатый бородавочник). Кстати, при желании его до сих пор можно скачать — как и любую более позднюю версию.
Источник: ubuntu-announce mailing list

Tailscale окончательно забанила российские адреса // dl // 02.10.24 18:54
Популярная mesh-vpn Tailscale, позволяющая без особых усилий объединить в одну сеть узлы, закопанные за корпоративными nat\'ами, еще год назад решила сделать жест доброй воли и заблокировала скачивание своего дистрибутива с российских адресов. Работе это особо не мешало, клиенты продолжали работать как ни в чем не бывало. Отпиливание хвоста по частям продолжилось, и весной этого года отвалилась проверка обновлений. Ну а с 1 октября блокировка по geoip была включена и для панели администратора, и для подключения клиентов к управляющему серверу. Запущенные ранее клиенты продолжали работать, но при первой же перезагрузке переставали видеть сеть. Причем если с Notion пользователей хотя бы предупредили заранее, тут многие даже не сразу поняли, что произошло. Впрочем, альтернатив пока хватает. Тот же опенсорсный ZeroTier работает ничуть не хуже. Можно даже просто поднять self-hosted управляющий сервер Headscale (если...»»
Источник: reddit

Прекращение работы антивируса Касперского в США // dl // 30.09.24 17:30
30 сентября вступает в силу запрет на использование программ "Лаборатории Касперского" в США. За неделю до этого многие американские пользователи обнаружили на своих машинах вместо антивируса Касперского не слишком-то известный продукт UltraAV от Pango Group. В Windows-системах замена произошла автоматически, пользователи macOS и Android получили извещения по почте. Всего Pango Group было передано около миллиона пользовательских аккаунтов.
Источник: The Register

Microsoft Authenticator теряет пользовательские аккаунты // dl // 05.08.24 22:21
Внезапно выяснилось, что довольно популярное приложение для двухфакторной аутентификации Microsoft Authenticator всю свою жизнь (с 2016 года) имело неприятную особенность: при добавлении через QR-код перезаписывало аккаунт с тем же именем пользователя. С учетом того, что ряд сервисов в качестве имени использует электронную почту, вероятность затереть существующий аккаунт совершенно другого сервиса тут совершенно ненулевая. Причем узнаете вы об этом, когда станет уже слишком поздно что-то менять.
Источник: Slashdot

Облачнолазурное // dl // 31.07.24 17:34
Как-то совсем не задалось с облаками у Microsoft в этом июле. Сначала инцидент с обновлением CrowdStrike Falcon 19 июля, который зацепил заодно и Azure с собственными сервисами MS, да так хорошо, что версия с Azure как источником проблемы некоторое время была одной из основных. Хотя в той ситуации самой Microsoft удалось более-менее оправдаться, осадочек остался. И вот как будто чтобы закрепить впечатление, теперь уже в самой инфраструктуре Azure 30 июля случился восьмичасовой сбой, зацепивший Azure Front Door (AFD) и Azure Content Delivery Network (CDN), что по цепочке потащило за собой, например, проблемы с Minecraft, GitHub, мобильным приложением Starbucks и т.п. Источником сбоя названа DDoS-атака. С основными проблемами удалось разобраться за пару часов, но в Microsoft признали, что "ошибки в реализации защиты усилили негативные последствия атаки вместо их устранения".
Источник: The Register

TeamViewer обвинил в своем взломе русских хакеров // dl // 29.06.24 15:31
На этой неделе стало известно, что служба безопасности TeamViewer "обнаружила аномалию" в одной из сетей компании, что в переводе на человеческий обычно означает взлом. Чуть позже было объявлено, что одним из логинов сотрудников воспользовалась то ли легендарная, то ли мифическая прокремлевская группировка Cozy Bear, она же APT29, она же Midnight Blizzard.

TeamViewer уверяет, что пользовательские данные не были затронуты, и 600 тысяч платных пользователей (и бог его знает сколько бесплатных) могут спать спокойно. Пока.
Источник: The Register

Docker Hub закрыл доступ из России // dl // 30.05.24 15:34
При открытии сайта сообщается, что «we now block all IP addresses that are located in Cuba, Iran, North Korea, Republic of Crimea, Sudan, and Syria», поддержка в своих ответах распространяет этот список и на всю Россию. Разумеется, тривиально обходится через VPN и многочисленные прокси, но сам шаг — хороший повод задуматься о привязке не самого маленького сегмента к решению одной-единственной компании, сейчас уже чуть ли не каждый первый devops-тьюториал начинается с docker pull. Update: блокировка продержалась до 3 июня, но осадочек остался.
Источник: Хабр

Google заблокировала 2 с лишним миллиона приложений в прошлом году // dl // 30.04.24 13:10
Google сообщила о том, что в 2023 году не пропустила в Play Store 2.28 миллиона приложений, нарушающих требования к безопасности. Это в полтора раза больше, чем в 2022, когда было заблокировано 1.43 миллиона приложений.
Источник: The Register

Бэкдор в xz/liblzma, предназначенный для атаки ssh-серверов // dl // 30.03.24 17:23
Совершенно прекрасный бэкдор в библиотеке liblzma, входящей в состав архиватора xz, обнаружил разработчик из Microsoft Андрес Фройнд. Один из двух основных разработчиков xz JiaT75 в конце февраля добавил в архивированный релиз (tarball) скрипт, который вызывался при сборке deb/rpm-пакетов и внедрял в библиотеку вредоносный код, меняя поведение функций crc32_resolve и crc64_resolve. При вызове выполнялись различные проверки (типа процессора, параметров вызова программы, переменных окружения и т.п.), после чего происходил довольно медленный парсинг символьных таблиц динамически загружаемых библиотек (что и обратило на себя внимание Фройнда). Полный анализ сильно обфусцированного кода еще не закончен, предварительно он предназначен для удаленного исполнения кода, не требующего предварительной авторизации. Несмотря на то, что стандартный openssh не использует liblzma, некоторые популярные дистрибутивы включают в него поддержку уведомлений systemd, а вызываемая при этом libsystemd уже использует liblzma. За последние...»»
Источник: Ars Technica

Три миллиона электронных замков готовы открыть свои двери // dl // 22.03.24 20:22
Около трех миллионов популярных электронных замков Saflok швейцарской компании dormakaba, которыми оборудованы многие отели (около 13 тысяч), парковки и лифты в 131 странах, оказались подвержены уязвимости, получившей название, конечно же, Unsaflok. Чтобы воспользоваться уязвимостью, потребуются две карты — одна перепрограммирует замок, вторая его откроет. Модификация карт может быть проделана с помощью такого оборудования, как Flipper Zero, или даже просто Android-смартфоном с поддержкой NFC.

Производитель начал работу по исправлению уязвимости в ноябре 2023 года, спустя год после обнаружения. Пока заменено около 36 процентов замков.
Источник: The Register

Doom на газонокосилках // dl // 28.02.24 17:19
Husqvarna совместно с Bethesda подготовила к выходу к апрелю (и вроде бы не к первому) версию Doom, работающую на роботизированных газонокосилках Nera (ценой в жалкую пару тысяч долларов), ролик с анонсом прилагается. Печально, но столь полезная функция будет временной и отключится 9 сентября. Жаль, что не на бензопилах, было бы аутентичней.
Источник: Slashdot

Умер Никлаус Вирт // dl // 04.01.24 14:05
1 января скончался Никлаус Вирт, создатель Паскаля, Модулы и Оберона, автор классического учебника «Алгоритмы + структуры данных = программы», один из отцов структурного программирования.
Источник: ITWire