Институт системного программирования им. В.П. Иванникова Российской академии наук (ИСП РАН) сообщил о формировании Консорциума участников по поддержке Технологического центра исследования безопасности ядра Linux. Главной задачей новой организации является повышение уровня защищённости российских ОС.

Названный технологический центр был создан в 2021 году на базе ИСП РАН под эгидой ФСТЭК России в целях реализации федерального проекта «Информационная безопасность» национальной программы «Цифровая экономика Российской Федерации». Специалисты центра работают над повышением безопасности отечественных Linux-платформ.

Источник изображения: pixabay.com

Предполагается, что появление нового консорциума позволит поднять эффективность исследований в обозначенной сфере. Кроме того, будет решён вопрос дублирования работ по изучению и устранению проблем безопасности Linux. Консорциум не является юридическим лицом и может расширяться по мере выполнения задач и достижения целей. Присоединиться к организации могут компании, чья деятельность так или иначе связана с исследованиями безопасности Linux-систем.

В число направлений деятельности консорциума входят: совершенствование средств разработки и тестирования ПО; повышение квалификации разработчиков отечественных Linux-продуктов; улучшение нормативного и методического обеспечения процессов безопасной разработки ПО в России; разработка методик и рекомендаций по исследованию безопасности ядра Linux; развитие инфраструктуры для научной, научно-технической и инновационной деятельности, направленной на повышение уровня защищённости отечественных Linux-систем и пр.

Два исследователя в области информационной безопасности, аспирант Зитаи Чен (Zitai Chen) и профессор Дэвид Освальд (David Oswald), по сообщению The Register, на конференции Black Hat Asia 2023 рассказали о новой кибератаке, которая может использоваться для вывода из строя CPU в серверах на базе определённых материнских плат.

Схема получила название PMFault. Суть атаки сводится к использованию шины управления питанием PMBus на основе протокола I2C для повышения напряжения, подаваемого на центральный процессор. В результате, CPU может стать полностью неработоспособным без возможности последующего восстановления. Так, в ходе экспериментов исследователи уничтожили два чипа Intel Xeon.

Источник изображения: pixabay.com

Для организации атаки физический доступ к серверу необязателен. Нападение может быть осуществлено через I2C-подключение через ОС с правами администратора или через уязвимости в контроллере Baseboard Management Controller (BMC), который входит в оснащение многих серверных материнских плат.

Отмечается, что проблема в числе прочего затрагивает платы Supermicro с поддержкой IPMI (X11, X12, H11 и H12), а также некоторые платы ASRock. Более того, утверждают исследователи, теоретически атака может быть осуществлена на любые системы с доступом к PMBus посредством I2C. Компания Supermicro уже отреагировала на сообщения о проблеме и выпустила необходимые исправления. На сайте GitHub доступен инструмент PMBusDetect, при помощи которого можно определить возможность проведения атаки PMFault.

Компания NetApp анонсировала программу Ransomware Recovery Guarantee по защите корпоративных клиентов от шифровальщиков. NetApp гарантируют, что пользователи её СХД смогут восстановить данные, закодированные зловредами-вымогателями.

Новая инициатива распространяется на решения NetApp, использующие операционную систему ONTAP. По заявлениям компании, эта платформа предлагает уникальную комбинацию интегрированных средств обеспечения безопасности и инструментов защиты от программ-вымогателей.

Источник изображения: NetApp

В частности, ONTAP автоматически блокирует известные вредоносные файлы разных типов. Кроме того, благодаря многофакторной аутентификации система ограничивает доступ для подозрительных пользователей и администраторов. Вместе с тем создаваемые моментальные снимки данных не могут быть удалены даже от имени администратора, что в дальнейшем позволяет восстановить информацию.

NetApp заявляет, что автономная защита ONTAP от шифровальщиков даёт возможность обнаруживать потенциальные вторжения и немедленно делать дополнительные снимки данных. Последующее восстановление в случае необходимости займёт всего несколько минут, а атакованная организация сможет избежать огромных убытков, связанных с простоем своих систем и привлечением специалистов в области ИБ-безопасности. Кроме того, жертва вымогателей не понесёт репутационный ущерб.

Если же по какой-то причине копии данных не удастся восстановить при помощи средств NetApp или партнёров, клиенты получат компенсацию.2

Европейское агентство по сетевой и информационной безопасности (ENISA) разрабатывает новые, более жёсткие требования к облачным провайдерам в части хранения данных в пределах ЕС, чтобы исключить возможность доступа иностранных правительств к данным блока, пишет Bloomberg, ознакомившийся с проектом нового закона. По новым правилам для того, чтобы получить высшую сертификацию кибербезопасности, компании будет необходимо хранить данные в ЕС.

Как пояснил ресурс, на практике это означает, что американские провайдеры облачных услуг, такие как Amazon, Microsoft и Google, должны будут в соответствии с новыми требованиями гарантировать, что американское правительство не сможет получить доступ к европейским облачным данным. При этом зарубежные облачные провайдеры должны будут либо управлять отдельным юридическим лицом в ЕС независимо от материнской компании, либо создать СП с европейской облачной компанией.

Источник изображения: Pixabay

ENISA предлагает ввести двухуровневую классификацию кибербезопасности «высокого» уровня. Большинство американских облачных провайдеров соответствуют предложенному стандарту «EL3», которым устанавливается определённый уровень прозрачности данных. Самый высокий уровень кибербезопасности — сертификация EL4 — требует, чтобы данные хранились в ЕС без доступа иностранного правительства. Наличие высшего сертификата кибербезопасности будет необходимым условием при отборе компаний для получения контракта на хранение конфиденциальных правительственных данных.

Американские компании опасались, что ENISA в качестве условия высшей сертификации включит в новые требования правила владения облачными данными в ЕС подобные тем, что уже действуют во Франции. Однако, как оказалось им будет проще реализовать предложение ENISA. Например, по словам источников Bloomberg, решение Oracle Sovereign Cloud, скорее всего, уже соответствует предлагаемым требованиям сертификации EL4.

Компания Cisco опубликовала уведомление о том, что 9 мая 2023 года истёк срок действия сертификата безопасности ряда сетевых устройств vEdge SD-WAN. Проблема может привести к тому, что корпоративные заказчики столкнутся с критическими сбоями в работе своих инфраструктур.

Cisco заявляет, что просроченный сертификат используется в продуктах vEdge 1000, vEdge 2000 и vEdge 100M/B. Такие решения могут стать полностью неработоспособными. Поэтому пользователям настоятельно рекомендуется избегать перезагрузок устройств, загрузки каких-либо обновлений и изменения политик.

Источник изображения: Cisco

The Register отмечает, что фактически изделия vEdge SD-WAN превратились в «бомбу замедленного действия». Дело в том, что в таких устройствах предусмотрены сторожевые таймеры, которые могут запускать перезагрузку в определённых ситуациях. А это вызовет сбой из-за применения уже просроченного сертификата безопасности.

Cisco занимается решением проблемы. Компания, в частности, выпустила экстренный патч, ссылку на получение которого 10 мая опубликовал в Twitter Даниал Диб (Danial Dib), старший сетевой архитектор Cisco. Он также сообщил, что в ближайшее время будут выпущены дополнительные апдейты. Однако, как отмечается, доступное сейчас обновление принесёт мало пользы для устройств, которые уже пострадали из-за просроченных сертификатов. Пользователям такого оборудования рекомендуется обращаться за поддержкой в Cisco.

IBM представила набор инструментов IBM Quantum Safe, который позволяет внедрить комплексное сквозное шифрование, способное противостоять атакам с использованием квантовых компьютеров. По словам IBM, новые технологии были разработаны для подготовки компаний к «постквантовой эре», когда традиционные алгоритмы вряд ли смогут обеспечит безопасность бизнеса.

В состав IBM Quantum Safe входят:

• IBM Quantum Safe Explorer, предназначенный для сканирования исходных кодов и объектов с целью обнаружения криптографических активов, зависимостей, уязвимостей, а также создания криптографической спецификации CBOM (Cryptography Bill of Materials). Это позволит централизованно выявлять и исследовать потенциальные риски.
• IBM Quantum Safe Advisor для изучения всего криптографического инвентаря с целью анализа, ликвидации возможных последствий и приоритизации рисков.
• IBM Quantum Safe Remediator, который позволит организациям развёртывать и тестировать по шаблонам исправления для защиты от возможных атак, чтобы оценить возможное влияние на все системы и активы при подготовке к развёртыванию квантово-безопасных решений.

Источник изображений: IBM

IBM также представила свой план IBM Quantum Safe Roadmap, чтобы помочь клиентам во время перехода к новым нормам безопасности. Это первый план IBM, где обозначены технологические вехи на пути к всё более совершенным квантово-безопасным технологиям, которые помогут компаниям соответствовать ожидаемым криптографическим стандартам и требованиям и защитить системы от уязвимостей.

План состоит из трех ключевых действий:

• Обнаружение: выявление мест использования криптографии, анализ зависимостей и создание CBOM.
• Наблюдение: анализ состояния криптографических уязвимостей и расстановка приоритетов по исправлению в зависимости от рисков.
• Преобразование: устранение уязвимостей, в том числе автоматизированное.

Видеосервис TikTok сообщил в конце прошлой недели, что в рамках т.н. Project Texas «изменил место хранения пользовательских данных в США по умолчанию» на платформу Oracle и что «100% пользовательского трафика в США направляется в Oracle Cloud Infrastructure» после длившихся более года переговоров двух компаний.

Решение направлено на устранение опасений властей США по поводу того, что связи социальной сети с Китаем могут представлять угрозу для национальной безопасности страны. Объявление о переносе данных совпало (и вряд ли случайно) с публикацией итогов расследования ресурса BuzzFeed, которое показало, что сотрудники TikTok в Китае на постоянной основе получали доступ к персональным данным пользователей TikTok в США как минимум в период с сентября 2021 года по январь 2022 года.

После этого TikTok сообщил, что все личные данные пользователей из США, включая номера телефонов, даты рождения и черновики видео, теперь хранятся на серверах облака Oracle. Принадлежащий китайской компании ByteDance видеосервис также сообщил, что предложил Oracle заняться разработкой протоколов управления данными, которые помогут в защите конфиденциальной информации.

Источник изображения: Pixabay

По словам TikTok, резервные копии пользовательских данных TikTok из США по-прежнему хранятся на собственных серверах TikTok в Виргинии и Сингапуре, но в конечном итоге они будут удалены в рамках продолжающегося перехода на платформу Oracle. Сроки запланированного удаления копий пока неизвестны. Однако BuzzFeed сообщает, что сотрудники ByteDance в Пекине по-прежнему будут иметь доступ к публичным данным пользователей из США, включая видео, комментарии и профили, что позволит им делать выводы об интересах американцев.

Напомним, что в августе 2020 года власти США выступили с угрозой запретить TikTok в США, сославшись на опасения, что правительство Китая будет использовать данные, собранные TikTok, для слежки за гражданами США. К сентябрю ими был подготовлен контракт, в рамках которого компания ByteDance, материнская компания TikTok, должна была продать миноритарную долю в видеосервисе двум американским компаниям, Oracle и Walmart, при этом Oracle брала на себя хранение данных TikTok в США.

В итоге сделка была заключена, но воспользовавшись приходом к власти нового президента, ByteDance выторговала себе возможность не продавать долю в TikTok, а лишь перевести данные на хранение в облаке Oracle. Для Oracle обслуживание более чем 100 млн пользователей TikTok в США является возможностью приблизиться к конкурентам Amazon и Microsoft, взявшим под свой контроль более половины рынка.

При этом для самой ByteDance сотрудничество с Oracle, похоже, не является оптимальным вариантом. В прошлом году компания стала вторым по величине арендатором ЦОД в США (суммарно 92 МВт), хотя по сравнению с 2020 годом (134 МВт) объём арендованных мощностей снизился. Ранее компания отказалась от услуг Alibaba Cloud за пределами Китая, что заметно повлияло на выручку последней. А в конце прошлого года ByteDance взялась за развитие собственной облачной платформы Volcano Engine.

Вместе с расширением двенадцатого поколения процессоров Core (Alder Lake) компания Intel представила и новую версию бизнес-платформы vPro, обеспечивающую улучшенные возможности в области удалённого управления и информационной безопасности. Сама платформа vPro насчитывает уже более 15 лет, но сегодня некогда достаточно простой набор технологий разросся до полноценного портфолио, покрывающего потребности бизнес-клиентов в любых масштабах.

Изображения: Intel

Обновлённое портфолио включает следующие разновидности Intel vPro:

• Intel vPro Enterprise for Windows — наиболее полная версия, предназначенная для больших предприятий и компаний;
• Intel vPro Essentials — технологии, ранее доступные только крупному бизнесу, теперь могут использоваться и в малом или среднем. Включает технологию Intel Hardware Shield для защиты систем под управлением Windows;
• Intel vPro Enterprise for Chrome — нацелена на тех, кто использует в бизнесе большой парк ноутбуков или иных устройств на базе Chrome OS, обладает всеми преимуществами Windows-версии;
• Intel vPro Evo Design — для мобильных устройств, отвечающих одновременно критериям vPro и Evo Design.

В рамках новой версии vPro, по словам Intel, представлен полный спектр систем и решений, подходящий для любой задачи любой компании любого размера. Помимо всех тех особенностей, что предлагает архитектура Alder Lake (два вида ядер, DDR5 и т.д.), платформа vPro также включает ряд других программных и аппаратных компонентов:

• Intel Wi-Fi 6E (Gig+) и Intel Connectivity Performance Suite обеспечивают беспроблемную работу в беспроводных сетях нового поколения, также облегчая и процесс подключения или перехода из одного сегмента сети в другой;
• Поддержка ECC для рабочих станций базового уровня с vPro;
• Thunderbolt 4 для подключение многофункциональных док-станций без потери производительности, включая мультимониторные конфигурации с разрешением 4К и одновременной зарядкой ноутбука на базе новых чипов Intel.
• Технология Intel Treat Detection (TDT) — единственный в индустрии аппаратный детектор вирусов-шифровальщиков, работающий эффективнее и быстрее обнаруживающий новые угрозы;
• Новая система определения угроз с элементами машинного обучения способна лучше определять возможную атаку при аномальном поведении программного обеспечения, и работает она в реальном времени.
• Архитектурные особенности кремния новых процессоров уже поддерживают следующую волну операционных систем и новые способы виртуализации, одновременно защищая систему от попыток инъекции вредоносного кода.

На момент анонса партнёрами Intel представлено более 150 различных дизайнов вычислительных платформ, во всех форм-факторах. Все они должны быть доступны уже в этом году. Не забыта и сфера IoT, где процессоры Intel двенадцатого поколения в сочетании с vPro обеспечат высокую производительность и удобство удалённого управления. Новинки этого типа отлично впишутся в современную розничную торговлю, образование медицину, производственные и банковские процессы, экосистемы «умных городов» и т.д.

С точки зрения Cisco, одного из крупнейших производителей сетевого оборудования, в новой платформе очень важна поддержка Wi-Fi 6E, не просто обеспечивающая настоящий «гигабит по воздуху», но и позволяющая без проблем подключать больше беспроводных устройств к точкам доступа, большую надёжность, и предсказуемость поведения Wi-Fi в сценариях класса mission critical. Компания считает очень удачным сочетание систем Intel с поддержкой Wi-Fi 6E c новыми точками доступа Cisco Catalyst и Meraki.

В современном мире процессоров уже никого не удивляет нахождение очередной уязвимости, а иногда тропинкой для злоумышленника становятся технологии, изначально призванные повысить уровень безопасности. Ряд исследователей небезосновательно считает, что «заплатками» отделаться не получится и надо менять глубинные принципы, лежащие в основе процессорных архитектур.

Один из таких проектов, развиваемый с 2010 года усилиями SRI International и Кембриджского университета — это CHERI. В 2019 к нему присоединилась Arm, недавно представившая первый прототип платы с процессором Morello, который базируется на двух ключевых принципах, заложенных в CHERI — масштабируемая компартментализация и тонко настраиваемая защита содержимого памяти. Оба принципа реализованы аппаратно и сами по себе не новы.

Изображения: Arm

По сути речь идёт о расширении стандартного набора инструкций, с помощью которого даже написанное с использованием языков, позволяющих относительно легко сделать ошибки при работе с памятью (а это обычно C/C++), ПО можно заставить работать без образования серьёзных дыр в защите. Тщательная компартментализация (т.е. разделение) кода ОС и приложений хотя и не исключает наличие уязвимостей, но серьёзно ограничивает область возможного нанесения вреда.

В частности, любая инструкция типа load/store и любая операция выборки должны быть авторизованы на аппаратном уровне со стороны процессора. Разумеется, это не высокоуровневая защита, а скорее набор базовых блоков для построения таковой. Принцип компартментализации ещё проще: если в классической архитектуре взломщик может получить контроль над всей системой, то в изолированных друг от друга ОС и приложениях, он лишь проникнет в одну из множества небольших «ячекк», а его действия послужат сигналом для защитных механизмов.

Блок-схема Arm Morello

Arm Morello — первый чип на базе CHERI. Текущая аппаратная реализация использует модифицированные ядра Neoverse N1 (ARMv8.2) с частотой 2,5 ГГц. Первые платы с новым процессором предназначены таким IT-гигантам как Google и Microsoft, а также заинтересованным партнёрам образовательным учреждениям. На текущий момент разработчики предлагают модифицированное ядро FreeBSD, часть стандартных UNIX-программ, а также некоторые другие приложения. С появлением готовых плат и процессоров процесс адаптации ПО должен значительно ускориться.

Американский банк Morgan Stanley заключил мировое соглашение и согласился выплатить компенсацию в размере $60 млн для урегулирования коллективного иска, поданного от имени 15 млн клиентов. Согласно иску, из-за ошибочных действий банка, произошли две утечки персональных данных его клиентов. Банк потенциальные утечки признал, разослав клиентам уведомления в июле 2020 года, но виноватым себя не считает.

В первом случае во время вывода из эксплуатации двух центров обработки данных (ЦОД) в 2016 году с жёстких дисков, возможно, не была стёрта вся информация, в том числе данные клиентов, которые попали в руки сторонних организаций. Во втором случае в ходе модернизации оборудования в одном из филиалов был утерян сервер с клиентскими данными, которые могли быть незашифрованными из-за программного бага. Эти данные тоже могли попасть в чужие руки.

Фото: Pixabay/pastedo

Из-за неспособности вывести должным образом из эксплуатации два ЦОД банк уже был оштрафован Управлением контролёра денежного обращения США (OCC) на $60 млн. Регулятор обвинил банк в том, что тот «не осуществлял надлежащего надзора». Из-за нарушения банк столкнулся с восемью судебными исками, которые были объединены в один коллективный иск. Банк обвинили в «игнорировании отраслевых стандартов» в отношении надлежащей утилизации ИТ-активов (ITAD).

Согласно документам, банк отказался от услуг IBM в пользу «неизвестного и неквалифицированного поставщика» для вывода из эксплуатации своего IT-оборудования в рамках «решений, ориентированных на получение прибыли», чтобы сэкономить $100 тыс. Затем Morgan Stanley заключил контракт с фирмой Triple Crown на демонтаж оборудования и утилизацию. Вместо утилизации Triple Crown продала это оборудование фирме AnythingIT, а банку сообщила, что оборудование утилизировано. В свою очередь, AnythingIT, не удалив данные с жёстких дисков, продала оборудование компании KruseCom.

Как поступила с ним KruseCom неизвестно — оборудование либо было продано ещё кому-то, либо уничтожено. Несмотря на признание того, что часть утерянного оборудования так и не была возвращена, банк продолжает настаивать на том, что клиентам не было причинено никакого вреда. Предварительное соглашение об урегулировании коллективного иска было подано в пятницу вечером в федеральный суд Манхэттена. Соглашение вступит в силу после одобрения окружным судьёй.