Всем привет! По следам ушедшего ноября разбираем самые громкие события инфобеза последнего осеннего месяца. Так, был официально запущен CVSS 4.0, а неловкая история с промышленным шпионажем от NVIDIA получила промежуточное судебное решение. Биткоин-кошельки в период с 2011-го по 2015-й год оказались уязвимы для брутфорса, Binance получил крупный штраф и лишился гендиректора, а любимец криптостахановцев из Lazarus, криптомиксер Sinbad, был перехвачен ФБР. Кроме того, на Украине Интерпол нанёс финальный удар по операторам рансомвари LockerGoga, а на наших родных просторах ноябрь оказался богат на занятные ИБ-инициативы от Минцифры и компании. Об этом и других новостях прошлого месяца читайте под катом!

Официальный запуск CVSS 4.0 

В прошлом месяце фреймворк CVSS 4.0 официально вышел в свет, спустя восемь лет после предыдущей крупной версии. Из ключевого в новой версии улучшенная детализация базовых метрик, а также упрощение метрик угроз для облегчения использования стандарта. С той же целью устранены некоторые неоднозначности в оценках.

Помимо этого, разработчики фреймворка представили пять дополнительных метрик для оценки уязвимостей и новую номенклатуру под их классификацию. И наконец, стандарт немного переработали с оглядкой на операционные технологии, промышленные системы управления и интернет вещей. В общем, если кратко, ещё больше деталей, ещё сложнее оценка. Не так давно мы публиковали подробный разбор CVSS 4.0 на Хабре, так что если пропустили его или хотите освежить в памяти, читайте подробнее об изменениях и нововведениях в нашей статье.

NVIDIA в центре скандала с промышленным шпионажем

В ноябре NVIDIA оказалась в центре скандала с авторскими правами. В компании работал разработчик, который ранее был сотрудником немецкой Valeo. По стечению обстоятельств он оказался на видеозвонке с сотрудниками NVIDIA и своего бывшего работодателя. А по завершению своей презентации забыл отключить показ экрана.

И к удивлению бывших же коллег у разработчика на экране обнаружились куски кода Valeo и файл с говорящим названием «ValeoDocs». Прежде чем незадачливый товарищ успел всё это закрыть, сидевшие на созвоне работники Valeo сделали скриншоты, по следам которых компания начала расследование.

В общем, это история про конфуз с элементами промышленного шпионажа. Valeo после аудита обнаружила, что разработчик перед увольнением стянул исходники ПО для парковки и вождения. В ноябре товарища осудили, многомиллионный иск теперь ждёт и NVIDIA. Valeo утверждает, что NVIDIA использовала их исходный код в своём аналогичном ПО, что позволило значительно сократить расходы на его разработку.

Компания это, конечно, отрицает, и заявляет, что разработчик никакими исходники с ними не делился и стащил их в частном порядке. Подразумевается, что в частном же порядке он их залил на выданный ему компанией рабочий ноутбук. Однако решать вопрос теперь будет суд. А виной всему оказался неудачно расшаренный экран на созвоне. Неловко вышло.

Масштабная уязвимость в ключах биткоин-кошельков

В ушедшем месяце также отметилась масштабная уязвимость, связанная с криптокошельками. Так, биткоин-кошельки, сгенерированные в период с 2011-го по 2015-й год, уязвимы для взлома. Проблема заключается в низком качестве генерации случайных чисел в браузерах в те годы. И эксплойт Randstorm в этом случае полагается банально на брутфорс ключей к кошелькам.

По следам новости компания по восстановлению криптовалюты заявила, что вновь обнаружила описываемую проблему в январе 2022-го года, когда работала на неназванного клиента, у которого был заблокирован доступ к кошельку. Впервые же эта уязвимость была описана еще в 2018-м году исследователем безопасности под псевдонимом «кетамин».

Корнями же проблема уходит в BitcoinJS, опенсорсный пакет Javascript, используемый в разработке браузерных криптокошельков. Слабая криптография в одной из браузерных функций на тот момент вместе с особенностями архитектуры пакета привели к слабой же псевдослучайной генерации чисел. Отсюда и брутфорс кошельков, созданных на основе BitcoinJS. При этом, по подсчётам исследователей, на них лежат 1,4 миллиона биткоинов.

В общем, перед нами очередной блестящий пример индустрии, держащейся на опенсорсных разработках. И последствий багов в них (привет, Log4j). Уязвимые же кошельки теперь только менять. Подробнее о Randstorm читайте в недавно опубликованном отчёте.

Провинившийся Binance и отправившийся на дно Sinbad

В ноябре у нас также вновь случился крупный скандал с криптоплатформой и отмыванием средств, но есть маленький нюанс. Речь не об очередном криптомиксере с полулегальным фасадом. Под раздачу Минюста США попал сам Binance. По итогам судебных разбирательств биржа выплатит $4,3 миллиарда штрафа, а её основатель Чанпэн Чжао отделался штрафом в $50 миллионов. И отставкой с поста гендиректора.

Чем провинился Binance? Отсутствие на бирже контроля за оборотом средств с подсанкционными странами и борьбы с отмыванием денег. Больше миллиарда долларов ушли гражданам Ирана, в иске также упомянуты Сирия и Россия. Господин CZ сохранит за собой контрольный пакет акций, но руководящую должность в компании занимать больше не сможет.

В общем, старые деньги вновь забороли новые. И ещё не отправленные за решётку проводники цифрового будущего из миксеров, обслуживающих крипту геополитических оппонентов США, напряглись ещё больше. Если Минфин США с лёгкостью кладёт на лопатки таких гигантов, как Binance, с криптомиксерами, поддерживающими ореол легальности исключительно для вида, церемониться вообще никто не будет.

И следом ещё одна вполне ожидаемая новость ноября. Очередной криптомиксер, известный как Sinbad, отправился на дно. На этот раз платформа не отделалась одними санкциями — обе версии сайта, во внешнем интернете и в дарк-вебе, перестали работать. На них висят заглушки от ФБР.

Sinbad был одним из любимых миксеров криптостахановцев из северокорейской Lazarus, через него в том числе прошли средства, украденные в прошлом году по следам нашумевших взломов Horizon Bridge и Axie Infinity. Готовность обслуживать незаконные транзакции без разбора криптомиксер и погубила.

В феврале 2023-го создатель платформы утверждал, что «Sinbad находится в открытом доступе, потому что не делает ничего плохого». Увы, убедить Минфин США в том, что в отмывании похищенных средств нет ничего плохого, потому что это цифровое криптобудущее, не получилось. С учётом того, что владелец Tornado Cash год назад безуспешно пытался оправдаться с похожими формулировками, а в итоге его разработчики и основатели отправились за решётку и под суд, стоило искать аргументы убедительнее.

Россыпь занятных инфобез-инициатив на родных просторах

Последний месяц осени также был богат на различные ИБ-инициативы в России. Так, у нас выразили желание подключить «Госуслуги» к борьбе с телефонным спамом. Но в довольно занятном формате: согласно задумке, через портал граждане должны будут сообщать о спам-звонках.

Предполагается, что раздосадованный назойливой рекламой пользователь зайдёт на «Госуслуги» и в отместку настучит на телефонного спам-хулигана, предоставив номер, время и дату звонка. А дальше за дело возьмутся Роскомнадзор с ФАС и проверят, нет ли там случаем нарушений закона о рекламе.

Механизм выглядит, мягко говоря, странно. У Роскомнадзора доступа к информации о номерах юридических лиц нет – она у операторов. У них же и относительно эффективные услуги по борьбе со спамом. Да и ФАС гаданием по номеру телефона нарушения едва ли сумеет определить. Эксперты с выдержкой называют предложение «незрелым». Что ж, на такой формулировке и остановимся. Сдержанности ради.

Следом и Минцифры продолжает размышлять, чего бы ещё такого добавить на «Госуслуги» инфобеза ради. На этот раз предлагают позволить юзерам видеть на сайте, какие сим-карты оформлены на их имя. Всё это, как водится, для борьбы с телефонным мошенничеством.

Подразумевается, что бдительный абонент обнаружит на «Госуслугах» номер, которым не пользуется, или зарегистрированный обманным путём. И сможет его заблокировать. Сейчас для такого необходимо обращаться напрямую к операторам. Затея, видимо, идёт бонусом к перспективной возможности пожаловаться на телефонных спамеров.

С одной стороны, это, конечно, упростит простому пользователю решение вопроса со сторонними номерами на его имя. С другой, зачем следить за исполнением операторами закона «О связи», подразумевающим, что этой темой должны заниматься сами поставщики услуг, когда можно переложить это на абонентов.

И наконец, в ноябре Минюст предложил дать судебным приставам доступ к геоданным мобильных телефонов должников. По задумке, это поможет в их розыске и создании единого долгового досье — облачного хранилища данных о должниках, которое упростит процесс идентификации и поиска их имущества. Заодно приставы должны получить доступ к геоданным детей должников в случаях исполнительных производств по передаче ребенка другому родителю.

Предложенные меры планируют поэтапно внедрять с 2024-го по 2030-й год. Концепция также предполагает проработку взыскания цифровых валют и финансовых активов. Чтобы бессовестный должник уж точно не запрятал цифровые рубли в какой-нибудь криптокубышке.

Финальный удар по операторам LockerGoga и MegaCortex

И напоследок к вопросу громких арестов. В ноябре Интерпол провёл масштабную операцию по аресту рансомварщиков из Украины. Дубль два операции 2021-го года, в этот раз арестован предполагаемый 32-летний главарь группировки и четыре сообщника. Группировка была ответственна за атаки в 71 стране и шифровку более 250 серверов крупных корпораций с ущербом в сотни миллионов евро.

В арсенале у злоумышленников были LockerGoga, MegaCortex и Dharma. А аресты недельной давности, собственно, стали результатом анализа данных, перехваченных Интерполом во время рейдов в 2021-м. Операторы LockerGoga впервые всплыли в январе 2019-го и с тех пор была под пристальным вниманием норвежской полиции по следам нашумевшего в том году взлома промышленного гиганта Norsk Hydro, в результате понёсшего масштабные финансовые издержки. В итоге норвежцы годами продавливали поимку злоумышленников по дружественным ведомствам, в чём и преуспели. Бонусом по ссылке полицейский рейд по местам обитания украинских рансомварь-баронов.

Комментарии (2)


  1. ildarz
    05.12.2023 12:34

    С одной стороны, это, конечно, упростит простому пользователю решение вопроса со сторонними номерами на его имя. С другой, зачем следить за исполнением операторами закона «О связи», подразумевающим, что этой темой должны заниматься сами поставщики услуг, когда можно переложить это на абонентов.

    Не очень понимаю, где вы видите "переложить", ведь с оператора это предложение никаких обязанностей не снимает, зато наконец дает абоненту вменяемый способ контроля. Для пользователя это не просто "упростит" вопрос, а де-факто даст адекватную возможность им вообще заниматься.


  1. amarkevich
    05.12.2023 12:34

    перед нами очередной блестящий пример индустрии, держащейся на опенсорсных разработках

    проприетарный код зачастую не лучше. а в случае отсутствия доступа к кодовой базе - добавляется шаг ковыряния в бинарниках с сомнительным успехом.