Всем привет! По следам ушедшего ноября разбираем самые громкие события инфобеза последнего осеннего месяца. Так, был официально запущен CVSS 4.0, а неловкая история с промышленным шпионажем от NVIDIA получила промежуточное судебное решение. Биткоин-кошельки в период с 2011-го по 2015-й год оказались уязвимы для брутфорса, Binance получил крупный штраф и лишился гендиректора, а любимец криптостахановцев из Lazarus, криптомиксер Sinbad, был перехвачен ФБР. Кроме того, на Украине Интерпол нанёс финальный удар по операторам рансомвари LockerGoga, а на наших родных просторах ноябрь оказался богат на занятные ИБ-инициативы от Минцифры и компании. Об этом и других новостях прошлого месяца читайте под катом!
Официальный запуск CVSS 4.0
В прошлом месяце фреймворк CVSS 4.0 официально вышел в свет, спустя восемь лет после предыдущей крупной версии. Из ключевого в новой версии улучшенная детализация базовых метрик, а также упрощение метрик угроз для облегчения использования стандарта. С той же целью устранены некоторые неоднозначности в оценках.
Помимо этого, разработчики фреймворка представили пять дополнительных метрик для оценки уязвимостей и новую номенклатуру под их классификацию. И наконец, стандарт немного переработали с оглядкой на операционные технологии, промышленные системы управления и интернет вещей. В общем, если кратко, ещё больше деталей, ещё сложнее оценка. Не так давно мы публиковали подробный разбор CVSS 4.0 на Хабре, так что если пропустили его или хотите освежить в памяти, читайте подробнее об изменениях и нововведениях в нашей статье.
NVIDIA в центре скандала с промышленным шпионажем
В ноябре NVIDIA оказалась в центре скандала с авторскими правами. В компании работал разработчик, который ранее был сотрудником немецкой Valeo. По стечению обстоятельств он оказался на видеозвонке с сотрудниками NVIDIA и своего бывшего работодателя. А по завершению своей презентации забыл отключить показ экрана.
И к удивлению бывших же коллег у разработчика на экране обнаружились куски кода Valeo и файл с говорящим названием «ValeoDocs». Прежде чем незадачливый товарищ успел всё это закрыть, сидевшие на созвоне работники Valeo сделали скриншоты, по следам которых компания начала расследование.
В общем, это история про конфуз с элементами промышленного шпионажа. Valeo после аудита обнаружила, что разработчик перед увольнением стянул исходники ПО для парковки и вождения. В ноябре товарища осудили, многомиллионный иск теперь ждёт и NVIDIA. Valeo утверждает, что NVIDIA использовала их исходный код в своём аналогичном ПО, что позволило значительно сократить расходы на его разработку.
Компания это, конечно, отрицает, и заявляет, что разработчик никакими исходники с ними не делился и стащил их в частном порядке. Подразумевается, что в частном же порядке он их залил на выданный ему компанией рабочий ноутбук. Однако решать вопрос теперь будет суд. А виной всему оказался неудачно расшаренный экран на созвоне. Неловко вышло.
Масштабная уязвимость в ключах биткоин-кошельков
В ушедшем месяце также отметилась масштабная уязвимость, связанная с криптокошельками. Так, биткоин-кошельки, сгенерированные в период с 2011-го по 2015-й год, уязвимы для взлома. Проблема заключается в низком качестве генерации случайных чисел в браузерах в те годы. И эксплойт Randstorm в этом случае полагается банально на брутфорс ключей к кошелькам.
По следам новости компания по восстановлению криптовалюты заявила, что вновь обнаружила описываемую проблему в январе 2022-го года, когда работала на неназванного клиента, у которого был заблокирован доступ к кошельку. Впервые же эта уязвимость была описана еще в 2018-м году исследователем безопасности под псевдонимом «кетамин».
Корнями же проблема уходит в BitcoinJS, опенсорсный пакет Javascript, используемый в разработке браузерных криптокошельков. Слабая криптография в одной из браузерных функций на тот момент вместе с особенностями архитектуры пакета привели к слабой же псевдослучайной генерации чисел. Отсюда и брутфорс кошельков, созданных на основе BitcoinJS. При этом, по подсчётам исследователей, на них лежат 1,4 миллиона биткоинов.
В общем, перед нами очередной блестящий пример индустрии, держащейся на опенсорсных разработках. И последствий багов в них (привет, Log4j). Уязвимые же кошельки теперь только менять. Подробнее о Randstorm читайте в недавно опубликованном отчёте.
Провинившийся Binance и отправившийся на дно Sinbad
В ноябре у нас также вновь случился крупный скандал с криптоплатформой и отмыванием средств, но есть маленький нюанс. Речь не об очередном криптомиксере с полулегальным фасадом. Под раздачу Минюста США попал сам Binance. По итогам судебных разбирательств биржа выплатит $4,3 миллиарда штрафа, а её основатель Чанпэн Чжао отделался штрафом в $50 миллионов. И отставкой с поста гендиректора.
Чем провинился Binance? Отсутствие на бирже контроля за оборотом средств с подсанкционными странами и борьбы с отмыванием денег. Больше миллиарда долларов ушли гражданам Ирана, в иске также упомянуты Сирия и Россия. Господин CZ сохранит за собой контрольный пакет акций, но руководящую должность в компании занимать больше не сможет.
В общем, старые деньги вновь забороли новые. И ещё не отправленные за решётку проводники цифрового будущего из миксеров, обслуживающих крипту геополитических оппонентов США, напряглись ещё больше. Если Минфин США с лёгкостью кладёт на лопатки таких гигантов, как Binance, с криптомиксерами, поддерживающими ореол легальности исключительно для вида, церемониться вообще никто не будет.
И следом ещё одна вполне ожидаемая новость ноября. Очередной криптомиксер, известный как Sinbad, отправился на дно. На этот раз платформа не отделалась одними санкциями — обе версии сайта, во внешнем интернете и в дарк-вебе, перестали работать. На них висят заглушки от ФБР.
Sinbad был одним из любимых миксеров криптостахановцев из северокорейской Lazarus, через него в том числе прошли средства, украденные в прошлом году по следам нашумевших взломов Horizon Bridge и Axie Infinity. Готовность обслуживать незаконные транзакции без разбора криптомиксер и погубила.
В феврале 2023-го создатель платформы утверждал, что «Sinbad находится в открытом доступе, потому что не делает ничего плохого». Увы, убедить Минфин США в том, что в отмывании похищенных средств нет ничего плохого, потому что это цифровое криптобудущее, не получилось. С учётом того, что владелец Tornado Cash год назад безуспешно пытался оправдаться с похожими формулировками, а в итоге его разработчики и основатели отправились за решётку и под суд, стоило искать аргументы убедительнее.
Россыпь занятных инфобез-инициатив на родных просторах
Последний месяц осени также был богат на различные ИБ-инициативы в России. Так, у нас выразили желание подключить «Госуслуги» к борьбе с телефонным спамом. Но в довольно занятном формате: согласно задумке, через портал граждане должны будут сообщать о спам-звонках.
Предполагается, что раздосадованный назойливой рекламой пользователь зайдёт на «Госуслуги» и в отместку настучит на телефонного спам-хулигана, предоставив номер, время и дату звонка. А дальше за дело возьмутся Роскомнадзор с ФАС и проверят, нет ли там случаем нарушений закона о рекламе.
Механизм выглядит, мягко говоря, странно. У Роскомнадзора доступа к информации о номерах юридических лиц нет – она у операторов. У них же и относительно эффективные услуги по борьбе со спамом. Да и ФАС гаданием по номеру телефона нарушения едва ли сумеет определить. Эксперты с выдержкой называют предложение «незрелым». Что ж, на такой формулировке и остановимся. Сдержанности ради.
Следом и Минцифры продолжает размышлять, чего бы ещё такого добавить на «Госуслуги» инфобеза ради. На этот раз предлагают позволить юзерам видеть на сайте, какие сим-карты оформлены на их имя. Всё это, как водится, для борьбы с телефонным мошенничеством.
Подразумевается, что бдительный абонент обнаружит на «Госуслугах» номер, которым не пользуется, или зарегистрированный обманным путём. И сможет его заблокировать. Сейчас для такого необходимо обращаться напрямую к операторам. Затея, видимо, идёт бонусом к перспективной возможности пожаловаться на телефонных спамеров.
С одной стороны, это, конечно, упростит простому пользователю решение вопроса со сторонними номерами на его имя. С другой, зачем следить за исполнением операторами закона «О связи», подразумевающим, что этой темой должны заниматься сами поставщики услуг, когда можно переложить это на абонентов.
И наконец, в ноябре Минюст предложил дать судебным приставам доступ к геоданным мобильных телефонов должников. По задумке, это поможет в их розыске и создании единого долгового досье — облачного хранилища данных о должниках, которое упростит процесс идентификации и поиска их имущества. Заодно приставы должны получить доступ к геоданным детей должников в случаях исполнительных производств по передаче ребенка другому родителю.
Предложенные меры планируют поэтапно внедрять с 2024-го по 2030-й год. Концепция также предполагает проработку взыскания цифровых валют и финансовых активов. Чтобы бессовестный должник уж точно не запрятал цифровые рубли в какой-нибудь криптокубышке.
Финальный удар по операторам LockerGoga и MegaCortex
И напоследок к вопросу громких арестов. В ноябре Интерпол провёл масштабную операцию по аресту рансомварщиков из Украины. Дубль два операции 2021-го года, в этот раз арестован предполагаемый 32-летний главарь группировки и четыре сообщника. Группировка была ответственна за атаки в 71 стране и шифровку более 250 серверов крупных корпораций с ущербом в сотни миллионов евро.
В арсенале у злоумышленников были LockerGoga, MegaCortex и Dharma. А аресты недельной давности, собственно, стали результатом анализа данных, перехваченных Интерполом во время рейдов в 2021-м. Операторы LockerGoga впервые всплыли в январе 2019-го и с тех пор была под пристальным вниманием норвежской полиции по следам нашумевшего в том году взлома промышленного гиганта Norsk Hydro, в результате понёсшего масштабные финансовые издержки. В итоге норвежцы годами продавливали поимку злоумышленников по дружественным ведомствам, в чём и преуспели. Бонусом по ссылке полицейский рейд по местам обитания украинских рансомварь-баронов.
