Cybersecus дайджест #61

Вчера Google выпустила небольшое обновление к Chrome для всех платформ с совершенно простым и легко запоминающимся номером версии 72.0.3626.121. Оказалось, что апдейт был выпущен для исправления уязвимости нулевого дня CVE-2019-5786, позволявшей сайтам, эксплуатируя FileReader API, читать файлы на компьютере и исполнять вредоносный код. Браузер крайне рекомендуется к апдейту, если он у вас почему-то автоматически не обновился.
https://chromereleases.googleblog.com/2019/03/stable-channel-update-for-desktop.html

Spoiler alert! Тут новую уязвимость в процессорах Intel завезли, называется Spoiler. Очередная эксплуатация спекулятивного исполнения в в процессорах, позволяющая воровать различные секреты из памяти компьютера. Уязвимость, похоже, не может быть легко исправлена, и даже минимизация её эффекта представляется сложной без существенной переделки на уровне самого процессора. Процессоры ARM и AMD не затронуты, пишут исследователи. Никогда такого не было, и вот опять!
https://arxiv.org/pdf/1903.00446.pdf

90% взломанных в 2018 сайтов были на WordPress (написал я в посте блога на WordPress). Проблемы в первую очередь возникают у тех, кто забывает апдейтить сайт (движок, плагины и темы).
https://sucuri.net/reports/19-sucuri-2018-hacked-report.pdf

Обещанный в свое время релиз Ghidra случился! (напомню, это ПО от NSA по анализу и reverse engineering программного обеспечения — организация выложила проект в открытых исходных кодах). Правда, насколько вообще безопасно устанавливать себе ПО от NSA — это на ваше усмотрение. Там уже вроде как даже обнаружили то ли практически бэкдор в JDWP, то ли неудачную настройку, которая открывает порты и дает возможность удаленного исполнения кода. Впрочем, это же NSA, от них можно ожидать чего угодно.
https://www.ghidra-sre.org (этот URL из России у многих пользователей выдает ошибку 403)
https://github.com/NationalSecurityAgency/ghidra

Кстати, Microsoft не стала сидеть, сложа руки, и тоже выпустила в открытом исходном коде один свой важнейший продукт:
https://blogs.windows.com/buildingapps/2019/03/06/announcing-the-open-sourcing-of-windows-calculator/

Cybersecus дайджест

1. Помните проект Bandersnatch на Netflix? Интерактивный фильм, позволяющий делать вам выбор за главного героя и таким образом менять сценарий. Думаю, не станет сюрпризом, если вы узнаете, что Netflix сохраняет то, какие варианты вы выбирали.
https://twitter.com/mikarv/status/1095110948908662784

2. А помните историю про Google и Facebook, использовавшие корпоративные сертификаты разработчиков Apple для распространения приложений среди аудитории в обход App Store? Логичным продолжением этой истории стало дальнейшее расследование журналистов, которое показало, что есть целый ряд приложений с порнографией и азартными играми, которые используют корпоративные сертификаты для распространения приложений для iOS среди пользователей (по правилам App Store, такие приложения не могут там находиться). Проблема и в том, что Apple недостаточно тщательно проверяет, кто и как регистрирует сертификаты корпоративных разработчиков, и в дальнейшем не мониторит использование этих сертификатов (зачастую — китайскими компаниями), но пообещала разобраться как следует и наказать кого попало.
https://techcrunch.com/2019/02/12/apple-porn-gambling-apps/

3. Intel Software Guard eXtensions (SGX) — функция современных процессоров Intel, которая позволяет разработчикам изолировать приложения в безопасных анклавах. А тут вот исследователи обнаружили, что SGX может использоваться как место для хранения вредоносного ПО, которое невозможно обнаружить.
https://arxiv.org/abs/1902.03256

4. Какая красота, кабель с WiFi адаптером, позволяющий удаленно контролировать его. Компьютер видит кабель как клавиатуру и мышь, и можно удаленно вводить команды в устройство. Избегайте чужих кабелей (что, впрочем, не новый совет).
https://www.bleepingcomputer.com/news/security/new-offensive-usb-cable-allows-remote-attacks-over-wifi/

5. Исследователи компании Wandera обнаружили, что системы электронных билетов некоторых авиакомпаний (AirFrance, KLM) зачастую шлют пассажирам ссылки для регистрации без шифрования персональных данных (там прямо в УРЛ имя, фамилия, номер подтверждения регистрации). В некоторых случаях, пишут исследователи, можно, получив такой УРЛ, изменить данные в билете.
http://www.wandera.com/mobile-security/airline-check-in-risk/

6. Я тут топлю за 2FA всячески. Но, похоже, её не все так же любят, как я. В частности, в США некий Джей Бродски подал в суд на Apple, за то, что компания форсит пользователей пользоваться двухфакторной аутентификацией, а это длинный процесс с паролями, логинами, доверием устройствам, и тд. И вообще весь процесс может занимать 2 до 5 минут, что недопустимо долго. Apple нанесла непоправимый и невозможный к вычислению урон тем, что не дала возможности истцу выбрать свой собственный уровень необходимой безопасности.
https://www.scribd.com/document/399265266/Brodsky-versus-Apple-alleging-that-two-factor-authentication-is-abusive-to-users

Грядет очередной pribochique™?

Да, я практически слоупок — ведь Bloomberg написала о возможном переходе Apple с Intel-процессоров на процессоры ARM почти две недели назад, а я только созрел добрался написать об этом (на самом деле, во-первых, я думал, во-вторых, я был занят, настолько, что руки не дошли написать о майлстоуне “полгода” жизни с новой почкой, а в-третьих, я могу очень долго придумывать себе оправдания).

Если вы уже успели забыть, о чем там писали Bloomberg, я вкратце напомню:
– ожидается, что начиная с 2020 года (который только кажется очень далеко, но на самом деле не очень), Apple начнет использовать в своих компьютерах вместо процессоров Intel процессоры на базе архитектуры ARM
– Apple также якобы собирается объединить приложения в iOS на iPad и в macOS в каком-то виде, чтобы обеспечить возможность работы приложений одновременно и на планшетах, и на Маках.
Статья содержит интересные детали, такие, как например, кодовое название для проекта перехода на новые процессоры — Kalamata (город в Греции), и кодовое название для проекта объединения приложений — Marzipan.
Continue reading

Глава Intel о шансе с iPhone

Читал интервью с ушедшим недавно на пенсию Полом Отеллини, многолетним руководителем компании Intel, который много сделал для компании, и в том числе поспособствовал переходу компьютеров Apple на процессоры Intel. В большом интервью изданию The Atlantic Пол делится воспоминаниями о том, как его компания прощелкала шанс с iPhone, что могло бы сейчас серьезно изменить ситуацию на рынке мобильных процессоров. Intel там, как известно, плетется в самом конце и пока не очень понятно, что компания может сделать для того, чтобы сложившуюся ситуацию переломить.
Интересно, что это, наверно, единственное место в интервью (это отмечает автор статьи), где чувствуется какое-то сожаление. Действительно, быть руководителем одной из крупнейших IT-компаний в мире и не оценить такой уникальный шанс — есть о чем сожалеть. Правда, надо учитывать, что тогда Стив Джобс, даже будучи другом Отеллини, вряд ли раскрывал ему всю информацию о разрабатываемом устройстве, так что для принятия правильного решения у Пола могло просто не быть достаточно информации. Но ситуации, когда CEO компании такого масштаба так рассказывает о своих решениях в прошлом, бывают нечасто, и от этого слова Пола еще более интересны.
Continue reading

Смена процессорной архитектуры в Apple

Если вы периодически заходите в этот блог, вы могли натыкаться на картинку в хэдере блога с надписью It’s true! (Вот она, если вдруг она вам раньше не загружалась раньше или же вам лень порефрешить страничку). Собственно, этот кадр сделан 7,5 лет назад на конференции разработчиков Worldwide Developer Conference (WWDC), которую ежегодно проводит Apple для разработчиков под платформы компании (хотя тогда платформа была одна — Mac OS X, классическая Mac OS 9 была похоронена же Джобсом на WWDC 2003).

Фраза It’s true! в данном случае означала подтверждение выступающим Стивом Джобсом слухов, которые активно циркулировали на тот момент — что Apple готовит переход с процессорной архитектуры PowerPC на архитектуру x86 компании Intel. Шаг хоть на тот момент и предсказуемый, но все равно неожиданный. С одной стороны, было понятно, что архитектура PowerPC на тот момент существенно отстала от разработок Intel в вопросах производительности, энергопотребления и других важных показателей, а с другой стороны многие разработчики с трудом представляли себе то, каких усилий от них может потребовать подобная смена процессорной архитектуры компьютеров Apple.
Continue reading

Samsung без Google

Какое-то время назад я уже писал в блоге о том, что я предполагаю развитие событий, при котором Samsung, став крупнейшим производителем (и продавцом) смартфонов, начнет чувствовать излишнюю зависимость себя от Google и начнет предпринимать какие-то шаги по этому поводу. Один из вариантов выхода из такой ситуации — это “форкнуть” Android, как это сделала Amazon, и продолжать дальше “пилить” систему самостоятельно, все больше интегрируя ее со своими сервисами. Какое-то время назад система Bada выглядела как попытка Samsung подстраховаться от Android-зависимости, но в какой-то момент было ощущение, что Samsung сама не знает, что с ней делать.
В итоге Bada типа умерла, но ее наработки должны “материализоваться” в совместном проекте под названием Tizen, куда вошли Samsung, Intel, Huawei, NEC, Panasonic, а также целый набор мобильных операторов: Orange, Vodafone, SK Telecom, Telefonica и другие. Сам проект технически находится в рамках Linux Foundation, но технический комитет, состоящий из вышеперечисленных организаций, управляет проектом и принимает решения в нем. Взглянем же на Tizen, что это за зверь такой.
Continue reading

Переход Маков на ARM

В последнее время много говорят о том, что в Apple планируют перевести всю линейку ноутбуков на ARM-процессоры вместо x86-архитектуры компании Intel. Некоторые даже пишут статьи об этом как о свершившемся факте, хотя пока что никаких официальных анонсов по этому поводу не было. Сразу хочу отметить тот момент, что если на самом деле это произойдет, то вряд ли Apple ограничится только ноутбуками — с точки зрения Apple слишком сложно и дорого одновременно поддерживать две архитектуры процессоров в линейке Mac-компьютеров, так что в случае такого перехода должны будут перейти все компьютеры. Однако, даже несмотря на слухи про 2.5ГГц с 64-битной архитектурой у ARM в ближайшее время, я как-то с трудом представляю себе Mac Pro с ARM-процессором, что и заставляет меня сомневаться в таком переходе в ближайшем будущем.
Главный вопрос — зачем Apple сейчас менять архитектуру? Самый актуальный аспект в этом на данный момент — политический. Главный поставщик ARM-процессоров для Apple на сегодня — это компания Samsung, с которой, как известно, у компаний весьма конкретный конфликт, грозящий перерасти в полномасштабную войну. Конечно, для Samsung поставка комплектующих в Apple — это большая и важная часть бизнеса, но если конфликт будет дальше развиваться теми же темпами, вполне возможен вариант, когда заказы Apple уйдут другим поставщикам (а те, надо сказать, радостно их перехватят). А процессоры для iPhone/iPad — это очень важная составляющая устройства, и Apple может хотя бы просто стараться убрать этот рычаг давления из рук Samsung.
Continue reading

Новое поколение Мак-юзеров

На прошлой неделе я в рамках сообщества ru_mac в LiveJournal я организовал небольшой опрос, в котором я решил выяснить у пользователей, с какой версии Mac OS X они начали работу с Маком. Результаты оказались очень интересными, и заслуживают более детального изучения.
Continue reading

И ты, Intel? Intel решила не устанавливать Vista

Небольшая заметка из NY Times о том, что Intel, один из старейших партнёров Microsoft, приняла решение не устанавливать Windows Vista на компьютеры своих сотрудников.
otellini at wwdc
——————–
Intel, гигантский производитель процессоров и старинный партнер Microsoft, принял решение не переводить компьютеры своих 80 тысяч сотрудников на операционную систему Microsoft Windows Vista — сообщил человек, знакомый с планами компании.
Continue reading