Новогодние праздники — самое подходящее время для неожиданных глюков софта, который, по идее, должен работать, пока все остальные отдыхают. Именно на новый 2022 год пришлось сразу несколько сообщений о проблемах с обработкой дат, которые можно по аналогии с «проблемой 2000 года» или Y2K назвать «Y2K22». Сбои интересны тем, что, в отличие от «проблемы 2000» или «проблемы 2038» в Unix time, или хотя бы «проблемы 2010», от 2022 года никто таких сбоев не ожидал.


Наиболее заметной оказалась проблема с onpremises-серверами Microsoft Exchange. 1 января Exchange версий 2016 и 2019 гг. перестал обрабатывать почту (новость, обсуждение на Хабре, статья Microsoft). Причина сбоя была во встроенном в Exchange Server антивирусном сканере, а точнее, в простом обработчике даты внутри. Дата обрабатывалась в виде «YYMMDDHHMM» и при этом хранилась в виде числа в переменной такого типа, который допускает максимальное значение 2147483647. Сразу после боя курантов дата сменилась на 2201010001, и произошло переполнение.

С возрастом появляется новая сложная фича, когда вдруг прикидываешь срок знакомства с каким-либо артефактом собственной жизни и, не веря, переспрашиваешь сам себя: «сколько-сколько?!». Фильму «Хакеры» в сентябре этого года исполнилось двадцать шесть лет. А это в моем понимании новое кино, в смысле не старое, где Луи де Фюнес, Пьер Ришар и Жан-Поль Бельмондо. «Хакеры» — это фильм о технологиях, который за четверть века должен был безнадежно устареть. Но нет, он свеж и бодр, возможно потому, что показывает эти технологии очень условно. Это модемная буффонада, кремниевая сказка, вольная пьеса про транзисторы и интернет.


Впервые я посмотрел «Хакеров» довольно поздно, кажется году в 1999-м. И был сражен наповал богатством техники в фильме: вроде бы такие же старшеклассники как я используют портативные компьютеры, да еще и раскрашенные в разные цвета. Это было невероятно, и совершенно не соответствовало реалиям, что нашим победнее, что западным побогаче — большинство нормальных людей в конце девяностых прекрасно обходились подержанным десктопом на «первом пне». Я во второй раз пересматриваю кино в попытке найти и назвать поименно реальные компьютерные и околокомпьютерные железки. Вот что получилось.

На прошлой неделе издание DarkReading опубликовало показательный кейс о безопасности промышленных IT-систем. К сожалению, ни в статье издания, ни в оригинальном посте исследователей почти не приводится технических деталей. Тем не менее данная история все же представляет интерес, потому что это достаточно редкий (к счастью) задокументированный случай деструктивной атаки на специализированные системы, конкретно — на систему автоматизированного управления зданием (building automation system).

Представители компании Limes Security описывают атаку на систему «умного дома» в Германии, произошедшую в октябре этого года. В промышленной системе управления в офисном здании использовались устройства, работающие по стандарту KNX. У них есть одна интересная особенность, которой воспользовались злоумышленники: отдельные контроллеры можно защитить паролем. Пароль изначально не используется, но может быть установлен удаленно. Если вы забыли пароль, конфигурацию устройства невозможно поменять, и решить это можно только отправкой контроллера обратно производителю. Неизвестные атакующие, получив доступ к внутренней сети управляющей зданием организации, установили пароль на несколько сотен устройств, таким образом сделав всю систему «умного дома» неработоспособной.

На прошлой неделе к изначальной уязвимости в логгере Apache log4j добавились еще две. Помимо исходной CVE-2021-44228, была обнаружена дыра CVE-2021-45046. По сути, исходный патч в версии log4j 2.15 не учитывал некоторые варианты обработки логов, из-за чего возможность атаки частично сохранялась. Этой проблеме изначально присвоили низкий рейтинг, но потом подняли его до 9 баллов из 10 по шкале CVSS v3, так как были найдены способы запуска произвольного кода. Обнаружение данного бага также дало понять, что рекомендованные ранее временные способы решения проблемы на самом деле не работали.


Уязвимость была закрыта в версии 2.16.0 от 13 декабря, а уже 18 декабря вышел релиз 2.17.0, закрывающий третью уязвимость CVE-2021-45105. Это еще одна проблема с обработкой входящих данных, с помощью которой можно организовать DoS-атаку, отправив в логи сервера «волшебную строку». Частота обновлений в данном случае — скорее позитивный момент, но она явно указывает на то, что ранее код log4j недостаточно исследовался на наличие уязвимостей.

В процессе перетаскивания с места на место тяжеленного ЭЛТ-монитора я напомнил себе, что когда-то давно хотел коллекционировать только портатив. Ноутбуки, карманные компьютеры и мобильные телефоны попросту легче и компактнее. Я уже собрал достаточно приличное количество ноутбуков из 90-х, которые когда-то были моей недостижимой мечтой. Можно ли ограничиться ими и не заморачиваться с настольными ПК? Есть одна проблема: концепцию «ноутбука для геймеров» придумали относительно недавно. 25 лет назад портативный компьютер стоил примерно как бюджетная иномарка, и покупался, в абсолютном большинстве случаев, чтобы заработать еще больше денег, а не играть по вечерам в Doom. Но это тогда, а сейчас коллекционер компьютерного хлама вряд ли будет работать исключительно с электронными таблицами, базами данных и текстовым редактором в MS-DOS. А если хочется поиграть в Балду, Опасного Дейва, Принца Персии и Прехисторик — какой ноутбук будет самым лучшим?


Отвечу сразу: идеального ретроноутбука для ретроигр не существует. Но как отдельная дисциплина в коллекционерском многоборье, поиск наиболее совместимого (хотя бы!) с популярными DOS-играми портатива вполне оправдан. Это повод внимательнее посмотреть на характеристики и возможности старых устройств, а заодно еще раз восхититься многообразием технических решений той интересной эпохи. Вот этим я сегодня и хочу заняться. Если уж не предложить рабочее решение, то хотя бы описать основной набор проблем: поддержка звука, требования к процессору и, самое главное, бесконечные и разнообразные страдания с ЖК-дисплеями.

На прошлой неделе, 9 декабря, были обнародованы детали уязвимости в Apache log4j, библиотеке для сбора и обработки логов. Уязвимость CVE-2021-44228 приводит к выполнению произвольного кода и эксплуатируется тривиально, о чем свидетельствует самый высокий рейтинг по шкале CVSS — 10 баллов. Это достаточно редкий в сфере информационной безопасности случай «идеального шторма»: уязвимость эксплуатируется легко, при этом подчас сложно определить все уязвимые приложения в инфраструктуре и накатить патч в условиях активных попыток взлома.


Дыру в log4j часто сравнивают с уязвимостью Heartbleed 2014 года. Тогда в библиотеке OpenSSL была обнаружена ошибка, приводящая к утечке данных из памяти. Она позволяла удаленно и скрытно извлекать секреты, и также принесла администраторам систем массу проблем. Сложно было не столько обнаружить все уязвимые инсталляции, сколько определить, какие данные теоретически могли быть похищены. У Heartbleed и безымянной (не считая креатива в MS Paint) уязвимости в log4j есть и еще один общий момент: это открытые проекты, разрабатываемые в условиях перманентной нехватки ресурсов.

В марте 2001 года компания IBM представляет три новых ноутбука на базе процессоров Pentium III. Один из них — ThinkPad X21, скромный апгрейд модели X20, самого первого ноутбука в X-серии, выпускающейся (под маркой Lenovo) по сей день. Слова в анонсе для прессы дежурные: больше памяти и толще жесткий диск, процессоры производительнее, пользователь должен быть рад. Двадцать лет спустя я смотрю на свой собственный экземпляр X21 по-другому. Этот ноутбук представляется мне связующим звеном между совсем уж древними артефактами человеческой цивилизации (ноутбуки-чемоданы 80-х) и современностью. Он в целом похож на ноутбуки, которыми мы пользуемся сейчас, но при этом максимально совместим с DOS и Windows 98. На него можно установить Windows XP, прикрутить к нему WiFi и даже подключаться к современным ПК по RDP. И все равно это будет ностальгический артефакт из прошлого.


Современные ноутбуки производительные, компактные и скучные. X21 — еще торт, в нем есть пара необычных технических решений и совсем странные по современным меркам опции расширения функциональности. Помимо DOS-ностальгии, есть и объективный аргумент для покупки именно такого ретроноутбука в коллекцию. В X-серии ноутбуков IBM была сделана ставка на минимальные габариты и вес. Без фанатизма — уже тогда существовали лаптопы тоньше и легче. Зато X21 обеспечивает максимальную возможную на тот момент производительность, а вес снижается за счет отказа от оптического привода. Сейчас это как раз то, что нужно: есть масса способов перенести данные на старый ноутбук без записи на болванки. Я предпринял попытку построить универсальный ретрокомпьютер, который можно унести с собой. Вот что получилось.

3 декабря компания Zoho, разработчик ПО и сервисов для совместной работы, раскрыла данные о критической уязвимости в программе Zoho ManageEngine Desktop Central. Это приложение для централизованного управления парком устройств в организации. Уязвимость CVE-2021-44515 позволяет обойти систему авторизации и выполнить произвольный код на сервере.


Уязвимость классифицируется как zero day: на момент обнаружения она уже эксплуатировалась злоумышленниками. Это далеко не первая успешная попытка атаки на корпоративные решения Zoho. В начале ноября уже приходили сообщения о случаях взлома «соседнего» программного модуля, известного как ManageEngine ADSelfService Plus. Это решение реализует систему Single Sign-On и предоставляет сотрудникам интерфейс для смены пароля.

Привет, Хабр! Я работаю старшим Go-разработчиком в «Лаборатории Касперского». Сегодня хочу поговорить о том, как искать узкие места и оптимизировать код на Go. Разберу процесс профилирования и оптимизации на примере простого веб-сервиса — покажу, с помощью каких встроенных инструментов искать функции, активнее всего использующие CPU и память. Расскажу, какие можно применять подходы, чтобы повысить производительность. Хотя речь пойдет о микрооптимизации, в моем примере шаг за шагом производительность удалось поднять в 5 раз!

На прошлой неделе эксперты «Лаборатории Касперского» опубликовали сразу четыре документа, в которых предсказывается, как будут развиваться киберугрозы в 2022 году. Прогнозы поделены на четыре группы: продвинутые и целевые атаки, киберугрозы для систем автоматизации на производстве, безопасность цифровой медицины и эволюция конфиденциальности.


В этом дайджесте мы приведем самые интересные ожидания экспертов по эволюции инфобезопасности, и начнем с вопросов приватности. В этом обзоре авторы констатируют увеличившееся давление на крупнейшие компании по соблюдению конфиденциальности и предполагают появление новых технологий защиты данных. Они, впрочем, часто вступают в конфликт с интересами самих разработчиков сервисов, ПО и железа. Поэтому вряд ли стоит ожидать улучшения ситуации для всех: новые технологии (такие как, например, обработка голосовых записей на устройстве) скорее принесут определенную пользу тем, кто знает, как ими воспользоваться. Самое необычное предсказание в этой категории: необходимость «переобучения» нейросетей.

На прошлой неделе исследователи из Высшей технической школы в Швейцарии (ETH Zurich) опубликовали работу (пост в блоге команды, сама работа, исходники на GitHub), описывающую новый метод атаки типа Rowhammer на модули памяти стандарта DDR4. Атака получила название Blacksmith и идентификатор CVE-2021-42114.



Работа представляет интерес по многим причинам. Во-первых, это развитие известной атаки на железо, подтверждающее уязвимость вполне актуальных модулей памяти DDR4 (ранее тестировались модули DDR3). Во-вторых, авторы применили нестандартный метод, который можно условно назвать «Rowhammer со вкусом фаззинга», предполагающий атаку с помощью случайных паттернов. В-третьих, было показано, что существующие аппаратные средства защиты от такого рода атак не работают. Более того, даже память типа ECC затрудняет атаку, но не исключает ее полностью.

Недавно я рассказывал про ноутбук Compaq LTE Elite на базе 486-го процессора. Это был один из самых крутых ноутбуков 1994 года выпуска. Сегодня я расскажу о ноутбуке 1996 года. Из настоящего кажется, что два года — небольшая разница, ну что там такого может поменяться? Но это сейчас, а тогда, особенно за эти два года, поменялось практически все.


Это Toshiba 200CDT, достаточно дорогой и мощный ноутбук японского производителя. В отличие от IBM Thinkpad, которых у меня много, это всего вторая Toshiba в коллекции. Если бы я купил такой сразу после появления в продаже, он без проблем прослужил бы мне вплоть до середины нулевых. На самом деле, если понять и принять ограничения по доступу в интернет, он вполне хорош и в 2021 году. И по железу/возможностям, и по сохранности: пока что это самый «живой» ноутбук из 90-х в моей коллекции.

На прошлой неделе, 9 ноября, компания Microsoft выпустила очередной набор патчей для собственных продуктов. Он закрывает 55 уязвимостей, из них 6 критических. Особое внимание уделено новой уязвимости в почтовом сервере Microsoft Exchange. Уязвимость CVE-2021-42321 (описание на сайте производителя, статья в BleepingComputer) оценивается в 8,8 балла по шкале CVSSv3 и позволяет выполнять произвольный код на сервере. Уязвимость работает после авторизации на сервере и уже используется в таргетированных атаках.


Уязвимости подвержены серверы Microsoft Exchange версий 2013, 2016 и 2019, работающие на стороне заказчика. Облачный вариант сервиса Exchange Online вне опасности. Проблема была обнаружена в процессе валидации команд в Exchange Powershell, средстве автоматизации работы с сервером. Еще одна серьезная уязвимость закрыта на прошлой неделе в Microsoft Excel. CVE-2021-42292 позволяет обходить встроенные средства защиты и выполнять произвольный код при открытии документа.

Первые приводы CD-ROM я увидел году в 1994-м, и тогда это был невероятный прорыв. Если перенести ситуацию на современные реалии, это как если бы к моему настольному ПК с жестким диском на 8 терабайт прилагался какой-то привод, на каждом носителе для которого помещается терабайт 20. Среди моих знакомых была распространена ситуация, когда их 486-й компьютер был оснащен накопителем мегабайт на 400, а каждый приобретенный CD-ROM давал еще 650-700 мегабайт. Их имело смысл именно что покупать — переносить данные к себе, одолжив CD у друзей, было некуда. Разработчики игр пользовались возможностями носителя по полной: вставляли видеоролики, добавляли саундтрек, иногда в виде аудиотреков. Но то происходило в обеспеченной реальности западного мира. В моей реальности собственный оптический привод появился в 2001 году. А редкие CD-артефакты девяностых выглядели примерно так:



Окей, данный экспонат имел непростую жизнь. Я купил его в 1998 году, планируя переписывать игры по мере надобности у друзей и знакомых, но кажется, так ни разу этого и не сделал. Данный сборник представляет собой самый низменный вид российской пиратки, предназначенный для тех, у кого есть деньги строго на один диск, и не более того. Через четверть века он представляет некоторый интерес: кто-то, пусть левой ногой, но сделал подборку игр именно такой, посчитав данные программы нужными, и не включив другие. Еще и русификаторы добавил. Как это выглядит? Сейчас покажу наглядно на скриншотах.

19 ноября с 16:00 до 20:00 пройдет наша четвертая онлайн-конференция по кибериммунной разработке — KasperskyOS Night 2021 Winter Edition. В этот раз мы планируем поговорить о том, что нужно программистам и специалистам по информационной безопасности для создания IT-систем с «врожденной» защитой от кибератак, а также хотим поделиться своим опытом работы над операционной системой KasperskyOS и над продуктами на ее основе.

Мы затронем аспекты разработки на разных уровнях (от системного до прикладного) и ответим на самые частые вопросы участников прошлых конференций: как строить кибериммунные продукты на базе KasperskyOS; как писать и портировать драйверы и приложения. Зарегистрируйтесь для участия в KasperskyOS Night 2021 Winter Edition на странице конференции.

Кроме того, в рамках KasperskyOS Night 2021 Winter Edition пройдет мероприятие KasperskyOS Easy Offer, на котором вы сможете познакомиться с разработчиками KasperskyOS, пройти индивидуальное собеседование и (в случае успеха) уже на следующий день получить оффер без долгого традиционного HR-процесса. Больше информации о нашей команде и о том, кого мы ищем, можно найти на странице KasperskyOS Easy Offer.

На прошлой неделе специалисты «Лаборатории Касперского» опубликовали очередной квартальный отчет об эволюции спама и фишинга. В отчете приведена статистика за третий квартал этого года, а также ряд интересных примеров мошеннического спама. Большинство из нас такие письма увидит, только если зайдет в папку со спамом в почтовом сервисе, но кому-то по профессии приходится разбираться, что у нас хотят украсть и как.



Статистика в отчете приводится следующая. Доля спама в объеме почтового трафика уже довольно давно колеблется в районе 50% с тенденцией к медленному снижению (конкретно в третьем квартале — 45,47%). Зато растет (в абсолютных цифрах) количество вредоносных вложений (их относительная доля все же невелика — большинство почтовых сервисов блокирует такие прямолинейные атаки). Чаще всего в почте встречаются вредоносные программы семейств Agensla (кража данных) и Badun (распространяются в виде вредоносных офисных документов). С точки зрения «контента» в спаме авторы отчета выделили атаки по мотивам прошедших летом крупных спортивных мероприятий.

Сегодня, 1 ноября, исследователи из Кембриджского университета в Великобритании опубликовали работу, в которой описали уязвимость в большинстве современных компиляторов. Правильнее было бы назвать разработку авторов атакой: ее суть заключается в том, что компилятор не обрабатывает специальные Unicode-идентификаторы, сообщающие, как именно ориентировать текст — для письма слева направо или справа налево. При отображении исходного кода эти идентификаторы обрабатываются. Вот показательный пример:



Здесь перед закрытием комментария вставляется символ RLI (U+2067), который требует ориентировать последующие символы с ориентацией справа налево. В результате для того, кто будет просматривать исходный код, команда return окажется внутри комментария, хотя на самом деле она находится за его пределами и будет выполнена. То есть появляется возможность «протащить» потенциально уязвимый или вовсе вредоносный код, который не будет замечен при ручной проверке.

Чем современные ноутбуки отличаются от старых? Зависит от того, насколько глубоко вы копаете. 10 лет назад переносные компьютеры были почти такие же. 20 лет — чуть потолще, а так примерно то же самое. Если отмотать назад лет на тридцать, становится интереснее: именно тогда, на рубеже восьмидесятых и девяностых, ноутбуки стали портативными в современном понимании. До этого применялся дурацкий термин luggable — это когда у компьютера есть ручка для переноски, но габариты и вес ничем не отличаются от десктопа. Рождение современного компьютерного портатива — интересная эпоха с большим разнообразием устройств.



Сегодня я хочу рассказать о ноутбуке Compaq LTE (никакой связи с сотовыми сетями четвертого поколения), конкретно о модели Elite 4/75 1994 года. Это очень интересная модель с парой серьезных недостатков и одним важным достоинством при взгляде из 2021 года. Это «настоящий» «тот самый» 486-й, очень мощная железка для своего времени, серьезный, и крайне дорогой ноутбук для дела. Как часто бывает, сначала я долго искал хоть какой-то образец, но потом купил сразу два похожих устройства. Помимо раритетности был еще один повод найти именно такую модель. Это мой самый первый ноутбук. Не вообще всем, а конкретно мне он показал, как можно использовать компьютер «в полях». А благодаря одному персональному инциденту, на пару недель в 2003 году он и вовсе стал моим основным компьютером.

В исследованиях вредоносного ПО часто разбирается метод первоначального заражения системы, так как именно он позволяет модифицировать протоколы защиты. Что происходит после взлома компьютера, в деталях анализируется не так часто. На вопрос «Что могут сделать злоумышленники после получения полных прав?» обычно можно просто ответить: «Да все что угодно». Свежее исследование «Лаборатории Касперского» подробно описывает «функциональность после взлома» на примере модулей трояна Trickbot.

Trickbot отслеживается с 2016 года, он также является наследником банковского трояна Dyre, существовавшего с 2014 года. Задачей последнего была кража данных для доступа к финансовым сервисам при помощи атаки Man-in-the-browser. Несмотря на то что теперь основной задачей Trickbot является предоставление доступа другому вредоносному ПО (для шифрования данных и последующего требования выкупа у организаций), прямое похищение информации по-прежнему остается в списке задач. В 2021 году большинство случаев детектирования Trickbot пришлись на США, Австралию и Китай.