Кибербезопасность-обсуждение

[RW011]

GhostRace - атака на механизм спекулятивного выполнения в процессорах Intel, AMD, ARM и IBM

Группа исследователей из Амстердамского свободного университета и компании IBM разработала новый вариант атаки на механизм спекулятивного выполнения в современных процессорах, получивший кодовое имя GhostRace (CVE-2024-2193).

1:

Проблема проявляется в процессорах, производимых компаниями Intel, AMD, ARM и IBM. Для демонстрации принципов проведения атаки опубликован прототип эксплоита, позволяющий извлекать данные из памяти ядра Linux с производительностью 12 Кб в секунду при уровне надёжности, типичном для атак класса Spectre. При проведении атак на системы виртуализации, атакующий из гостевой системы может определить содержимое памяти хост-окружения или других гостевых систем.

Предложенный метод атаки манипулирует возникновением в спекулятивном режиме состояний гонки, способных привести к обращению к уже освобождённым областям памяти, в случае неверного прогнозирования процессором ветвления в коде, в котором осуществляются условные операции с примитивами синхронизации потоков, такими как mutex и spinlock. Возникающие спекулятивные обращения к памяти после определения неверного предсказания отбрасываются процессором, но следы их выполнения оседают в процессорном кэше и могут затем быть извлечены при помощи анализа по сторонним каналам.

По аналогии с эксплуатацией уязвимостей Spectre v1 для осуществления атаки GhostRace требуется наличие в ядре определённых последовательностей инструкций (гаджетов), приводящих к спекулятивному выполнению кода в зависимости от внешних условий, на которые может влиять атакующий. В целях оптимизации процессор начинает выполнять подобные гаджеты в спекулятивном режиме, но потом определяет, что предсказание ветвления не оправдалось и откатывает операции в исходное состояние.

Гаджет образуется, например, из участков кода, в которых состояние проверяется в бесконечном цикле и осуществляется выход из цикла после снятия блокировки доступа к ресурсу. Соответственно, при спекулятивном выполнении инструкций можно добиться ложного срабатывания перехода и выполнения защищённого блокировкой набора инструкций, несмотря на то, что фактически блокировка ресурса остаётся неснятой.


При анализе кода ядра Linux 5.15.83 исследователями выявлено 1283 гаджета, приводящих к спекулятивному обращению к уже освобождённой памяти (SCUAF - Speculative Concurrent Use-After-Free). Потенциально атака может быть совершена на системы виртуализации, любые ядра ОС и программы, в которых примитивы синхронизации потоков проверяются с использованием условных операторов, а код выполняется на платформах допускающих спекулятивное выполнение операций ветвления (x86, ARM, RISC-V и т.п.).

Для блокирования атаки предлагается использовать сериализацию примитивов синхронизации, т.е. добавление процессорной инструкции LFENCE после команды cmpxchq, проверяющей состояние блокировки. Предложенный для включения в ядро Linux метод защиты приводит к снижению производительности приблизительно на 5% при прохождении теста LMBench, так как вызов LFENCE запрещает упреждающее выполнение следующих инструкций, до того как будет завершена фиксация всех предыдущих операций.

Разработчики ядра Linux и компании-производители CPU были уведомлены о проблеме в конце 2023 года. Компания AMD опубликовала отчёт о наличии уязвимости, в котором рекомендовала использовать типовые приёмы защиты от атак класса Spectre v1. Компании Intel и ARM пока не отреагировали. Разработчики ядра Linux в ближайшем будущем не намерены использовать предложенный метод сериализации примитивов синхронизации из-за снижения производительности, но уже реализовали необходимые ограничения для защиты от сопутствующей техники эксплуатации IPI Storming (Inter-Process Interrupt Storming) (CVE-2024-26602), которая применяется в эксплоите для прерывания процесса в нужный момент (наводнение ядра CPU прерываниями, мешающими завершению сработавшего во время работы процесса обработчика прерываний) с целью предоставления временного окна для осуществления спекулятивного обращения к уже освобождённой памяти.

Несмотря на то что в гипервизоре Xen пока не выявлено вызывающие утечку гаджеты, разработчики Xen подготовили изменения с реализацией защищённого механизма блокировок LOCK_HARDEN, похожего на ранее добавленный метод защиты BRANCH_HARDEN. Из-за возможного негативного влияния на производительность, а также отсутствия подтверждений возможности совершения атаки на Xen, режим LOCK_HARDEN отключён по умолчанию.

[RW011]

Значки в браузерах показывают дополнительную информацию о просматриваемой странице.
Когда значок появится в объединенной адресной строке и строке поиска, нажмите на него, чтобы просмотреть дополнительную информацию, включая сертификаты безопасности и т.п.

[RW011]

Аккаунты Telegram начали красть с помощью сообщений от «службы поддержки»

Будьте осторожны. Взлом профиля происходит очень быстро.
Аккаунты пользователей Telegram начали красть с помощью сообщений о заявке на удаление аккаунта в мессенджере: злоумышленники под видом службы поддержки предлагают через специальную форму отменить эту процедуру. Об этом РБК сообщили разработчики технологий для борьбы с киберпреступлениями F.A.C.C.T. (Group-IB).

1:

Пользователь мессенджера переходит по ссылке и попадает на фишинговый сайт, повторяющий дизайн Telegram. Там ему предлагается ввести номер телефона и код безопасности. Этого может быть достаточно, чтобы мошенники тут же перехватили контроль над аккаунтом, получив доступ к перепискам и каналам, которые администрировала жертва.

В F.A.C.C.T. отмечают, что фишинговый сайт сразу же проверяет введённые пользователем данные. И если они кажутся неверными, появится сообщение об ошибке.

Эксперты напомнили, что никто не может запрашивать удаление учётной записи Telegram. Все сообщения об этом являются фейком вне зависимости от отправителя. Только сами пользователи могут деактивировать свой профиль в настройках сервиса.

[RW011]

Как понять, что сайт не безопасен для ваших данных, и защитить себя

Интернет полнится сайтами-двойниками известных социальных сетей, маркетплейсов и банков. Все они преследуют одну цель: получить пароли и данные банковских карт пользователей, которые не замечают подмены.

1:

Указывать на фишинг-сайт может кустарность визуала, например непривычные для бренда цвета, куча анимации и всплывающей кликбейтной рекламы в духе «Астролог рассказал, что ждёт Овнов в 2024 году…». А ещё преступники могут скопировать версию сайта, бывшую актуальной несколько лет назад. Стоит обратить внимание и на неформатированный текст, странные шрифты, опечатки и грамматические ошибки. На аутентичных сайтах больших компаний обычно такого не бывает.

Не ясно, как сайт использует персональные данные

1:

Длинные соглашения о конфиденциальности практически никто не читает. А зря: это важный шаг. Особенно на ресурсах, требующих регистрации с использованием персональных данных. Это ФИО, адрес, номера телефонов, а иногда и полные паспортные данные. Такие сайты должны рассказывать, каким именно образом они будут использовать вашу информацию. Также в Политике конфиденциальности обычно указывают, кто и в каком объёме имеет к вашим данным доступ. Если не изучить документ, есть риск своими руками дать согласие передавать данные третьим лицам.

Также следует позаботиться о своём цифровом следе:

1:

убедитесь, что веб-страница не будет запоминать ваши IP-адреса или файлы cookie. Они тоже относятся к персональным данным, так как по ним легко идентифицировать пользователя. Для их хранения требуется согласие самого человека. Именно поэтому большинство сайтов, на которых вы оказываетесь впервые, спрашивают у вас разрешение на использование cookie. Если вы не дадите согласие, сайт всё равно будет работать. Это относится к любому ресурсу: от платформы для покупки билетов до открытия онлайн-счёта в банке.

Финансовым организациям приходится особенно внимательно относиться к защите персональных данных. Обычно они продумывают системы защиты максимально тщательно. Например, ВТБ, чтобы минимизировать риски, сделал сервис ВТБ ID. Он даёт право заходить на сайты партнёров с учётными данными, используемыми в банке. Чтобы присоединиться к сервису, все сайты-партнёры сначала проходят аутентификацию в ВТБ ID. Затем клиент даёт согласие на использование своих данных — и только тогда вход становится возможным. Отозвать разрешение можно в любой момент в ВТБ Онлайн. Банк не передаёт партнёру логины, пароли и финансовую информацию клиента.

Сайт не использует протокол HTTPS

1:

Уникальный адрес в интернете, или URL, — это тоже индикатор, который поможет вычислить небезопасный сайт. Надёжные ресурсы используют протокол https вместо http. Буква S означает наличие сертификата безопасности. Он гарантирует, что данные, пересылаемые из компьютера на хостинг, зашифрованы и перехватить их не так просто.

Понять, как работает шифровка, можно на простом примере. Обмен данными в интернете идёт через сервисные центры провайдеров. Информацию, отправленную через сайт с незащищённым протоколом http, можно сравнить с незапечатанной открыткой на почте. С её содержимым может ознакомиться любой. Сообщение, пересылаемое по правилам https, — это посылка с замком, причём двойным. Код устанавливают провайдеры и отправителя, и получателя. Поэтому третьим лицам становятся недоступны данные, например, банковской карты, с которой вы покупаете товар в надёжном интернет-магазине.

Страница не нравится браузеру

1:

Современные браузеры, независимо от операционной системы компьютера или смартфона, выполняют базовую проверку безопасности сайтов. О результатах такой проверки можно узнать в адресной строке. Как правило, они выделяют три степени надёжности ресурса: подключение защищено, не защищено, опасно. Игнорировать эти сигналы не стоит.

В первую категорию попадают все сайты, работающие по протоколу https, во вторую — без него. Это не значит, что администраторы сайта с незащищённым подключением непременно мошенники, которые украдут данные. Подключение протокола шифрования на свой ресурс — это право владельца сайта, а не его обязанность. Открывать и читать такую страницу можно, но оставлять персональные данные рискованно. К «опасным» браузеры относят сайты с подмоченной репутацией — за которыми замечены факты кражи или слива данных. Такие лучше сразу же закрывать.

У сайта не отображается сертификат безопасности

1:

Сертификат безопасности (SSL) — это как раз то, что скрывается за буквой S в аббревиатуре https. Браузеры проверяют его наличие самостоятельно, но иногда не помешает изучить его дополнительно. Например, если вы впервые регистрируетесь в новом онлайн-магазине. Кроме того, мошенники могут добавлять https просто к названию сайта, в надежде что посетители не будут разглядывать адресную строку. Данные сертификата безопасности можно увидеть, щёлкнув на замок слева от URL в адресной строке браузера. Он бывает трёх типов и может обозначаться различными аббревиатурами.

Domain Validation (DV). Самый простой сертификат, подтверждающий домен. Доступен всем моментально после создания сайта.
Organization Validation (OV). Подтверждает, что конкретный домен принадлежит определённой организации. К примеру, что сайт условной страховой компании действительно создан ею. Для его получения необходима дополнительная проверка специальным центром сертификации.
Extendet Validation (EV). Это документ наивысшего доверия. Выдавая его, центр сертификации максимально тщательно исследует организацию. Такой тип обычно используют сайты, которые хранят много важной информации: банки, интернет-магазины, социальные сети.
Также существует печать доверия. Она прилагается к SSL-сертификату или покупается отдельно. Представляет собой картинку-логотип проверяющего центра, обычно его можно увидеть в подвале сайта или на страничках оплаты.

Как минимизировать риски

1:

Проверяйте сайты на сторонних ресурсах
Существуют так называемые сканеры безопасности — специальные сервисы, которые анализируют страничку на предмет уязвимостей. Если браузер не уведомил вас о подозрительности сайта, но у вас всё равно есть сомнения, то они могут сделать всю работу по первичной проверке ресурса за вас. Как правило, они действуют просто: вы вводите URL в специальное поле, нажимаете «Проверить» и получаете вердикт.

Используйте разные пароли и системы аутентификации
О необходимости придумывать сложные пароли наверняка знают многие. Но даже надёжные комбинации не стоит использовать для разных сайтов и сервисов. Слабость такой защиты очевидна: как только злоумышленники узнают код защиты одного ресурса, они получат доступ ко всем страничкам человека — вплоть до наиболее чувствительных, вроде банковских приложений и «Госуслуг». Чтобы не записывать в заметки шифры от десятков сайтов, используйте менеджеры паролей. Тогда вам придётся знать только один ключ безопасности.

Самые безопасные сервисы — те, в которых защита данных для входа усилена при помощи биометрии. Для авторизации используется изображение лица и отпечатки пальцев или одноразовый код из СМС.

Регулярно обновляйте антивирусное ПО

1:

Кроме своей базовой задачи — защиты от вирусов — такой софт часто умеет предупреждать о подозрительных ссылках и сайтах. Некоторые антивирусы блокируют вход в наиболее опасные ресурсы, поэтому вы не сможете открыть их, даже если очень захотите. Своевременное обновление гарантирует, что программа сможет распознавать всё более современные методы обмана.