По роутерам Juniper расползается бэкдор, активирующийся "волшебным пакетом"; Microsoft обещает радикально усилить безопасность Windows в следующем году; Ядро Linux избавляется от российских мейнтейнеров.

#420, 28.01.2025

По роутерам Juniper расползается бэкдор, активирующийся "волшебным пакетом"
dl // 27.01.25 17:33
Исследователи из Black Lotus Labs сообщают о том, что с середины 2023 года ряд корпоративных роутеров Juniper с Junos OS, половина из которых была сконфигурирована как VPN-шлюз, тихо и незаметно заражается вариантом "невидимого" бэкдора cd00r, заточенного под максимально незаметное исполнение в атакованной системе. В отличие от традиционных бэкдоров, которые незатейливо открывают какой-нибудь порт и ожидают поступления команд, J-Magic мониторит стандартный трафик, проходящий через роутер, на предмет обнаружения "магического пакета", содержащего определенные значения в TCP-заголовке. Далее отправителю этого пакета отсылается случайная строка из пяти символов, зашифрованная публичным RSA-ключом, и если отправителю удается ее расшифровать и отправить роутеру для верификации, тот начинает выполнять удаленные команды.
Источник: The Register

Microsoft обещает радикально усилить безопасность Windows в следующем году
dl // 19.11.24 17:09
Традиционно любой крупный провал в области безопасности (будь то червь Морриса, эпидемия Blaster и т.п.) приводил серьезной перетряске устоявшихся правил и практик. Не исключением стала и летняя катастрофа с CrowdStrike, обрушившая 8 с лишним миллионов пользовательских компьютеров и серверов, что обошлось пострадавшим в не один миллиард долларов. Для предотвращения подобных инцидентов в будущем Microsoft выступила с инициативой Windows Resiliency. Самые заметные изменения, ожидаемые в следующем году, включают быстрое восстановление (Quick Machine Recovery) позволяющее удаленно вытащить систему из постоянной перезагрузки, и защиту администратора (Administrator Protection), требующую для выполнения критичных действий не просто подтверждения в диалоге, а биометрическую аутентификацию через Windows Hello либо ввода отдельного пин-кода. Наконец, включенный по умолчанию Smart App Control не даст запускать неизвестные приложения и скачанные из сети скрипты, а Windows Protected Print mode устранит необходимость устанавливать сторонние драйверы принтеров, ставшие в последнее время эффективной точкой проникновения в систему. Самым радикальным изменением для разработчиков продуктов, обеспечивающих безопасность, станет возможность работы в пользовательском режиме, а не режиме ядра.
Источник: ZDNet

Ядро Linux избавляется от российских мейнтейнеров
dl // 23.10.24 23:10
22 октября Грег Кроа-Хартман (Greg Kroah-Hartman), поддерживающий стабильную ветку ядра Linux, исключил из списка мейнтейнеров ядра 11 разработчиков, у 10 из которых по случайному стечению обстоятельств почтовые адреса заканчивались на .ru. Одиннадцатым был сотрудник «Байкал Электроникс» Сергей Сёмин, патчи которого отказались принимать еще в марте 2023 года с формулировкой «нам некомфортно принимать патчи от вашей организации». На этот раз причиной названы various compliance requirements (прекрасная формулировка, под которой может скрываться что угодно, от юридических требований до всё той же некомфортности). Проделано всё было без каких-либо предварительных объявлений или объяснений, сообщество узнало о случившемся просто из описания очередного патча. Тут надо понимать, что исключение из списка мейнтейнеров само по себе не ведёт к автоматическому исключению ранее одобренного этими мейнтейнерами кода, не лишает возможности отправлять патчи и т.п. Просто эти люди не будут упоминаться, как будто бы их никогда не было. А код — ну что код, мало ли кто что напрограммировал. Что совсем забавно, в списке осталось довольно много русских имен, так что фильтрация прошла тупо по домену .ru (ну а Сёмин попал под раздачу как засветившийся ещё раньше). Для сомневающихся — сейчас в https://www.kernel.org/doc/linux/MAINTAINERS не осталось ни одного адреса .ru, поэтому не надо рассказывать о том, что убрали только людей из подсанкционных компаний типа Сбера. Слегка обалдевшие озадаченные происходящим другие участники проекта стали интересоваться, какого... что вообще понимается под требованиями комплаенса в данном конкретном случае, и намекать, что неплохо было бы сформулировать некие правила, чтобы в будущем не случилось каких-то злоупотреблений. И что вообще проделывать такое втихаря — как-то не комильфо. 23 октября подъехал главный калибр, и Линус Торвальдс в своём характерном доброжелательном стиле рассказал, что решение окончательное, требования комплаенса — не только американская фишка, а если вы ничего не читали про русские санкции и шлёте запросы на откат этого патча, то включите то, что считаете мозгами. Попутно Линус обозвал критиков русскими троллями и добавил, что вообще-то он финн (строго говоря, швед), так что те, кто ждут от него поддержки русских, должны подучить историю. Да, Линус, кто бы сомневался. В следующем письме Торвальдс добавил, что сам-то он не юрист, но делает то, что ему сказали юристы, и обсуждать это с теми, кого считает проплаченными путинскими мурзилками (ну почти, random internet people who I seriously suspect are paid actors) не будет. Комментировать такое — только портить.
Источник: lore.kernel.org