Спустя почти год после нашей прошлой публикации о предприимчивом американском мошеннике, занимавшимся продажей контрафактных сетевых устройств Cisco в астрономических масштабах, история наконец получила громкое продолжение. Онур Аксой, руководитель группы компаний, управляющих несколькими интернет-магазинами, был приговорён к шести с половиной годам тюремного заключения за продажу поддельного сетевого оборудования Cisco. Устройства продавались правительственным, медицинским, образовательным и военным организациям по всему миру. 40-летний житель Флориды был арестован 29 июня 2022 года в Майами и обвинён в торговле контрафактными товарами и мошенничестве. Аксой признал свою вину лишь в июне 2023 года, подтвердив, что управлял мошеннической операцией через 19 компаний и 25 интернет-магазинов на платформах eBay и Amazon под общим названием «Pro Network Entities». Аксой импортировал десятки тысяч поддельных устройств низкого качества из Гонконга и Китая, которые продавались по цене на 98% ниже рекомендованной розничной цены Cisco. Устройства снабжались поддельными ярлыками, наклейками, коробками, документацией и упаковкой с логотипами Cisco, что создавало видимость новых, оригинальных и высококачественных изделий. Тем не менее, оборудование всё же являлось подделкой, поэтому часто выходило из строя, вызывая серьёзные нарушения в работе сетей клиентов, включая больницы, школы, государственные учреждения и даже военные органы США. С 2014 по 2022 год таможенные органы США перехватили 180 партий поддельных устройств Cisco, отправленных в адрес Pro Network Entities. Чтобы избавиться от внимания властей Аксой постоянно использовал фальшивые имена для оформления документов, а также абсолютно разные адреса, на которые выписывался контрафакт. По оценкам Министерства юстиции США, розничная стоимость товаров, проданных Аксоем, за всё время составила более миллиарда долларов, а чистый доход Pro Networks Entities превысил 100 миллионов долларов. В ходе расследования было установлено, что Аксой получил семь писем от Cisco с требованием прекратить незаконную деятельность, на что он ответил предоставлением поддельных документов через своего адвоката. В июле 2021 года на складе Аксоя был проведён обыск, в результате которого были изъяты 1156 поддельных устройств Cisco на сумму более $7 млн. По условиям сделки о признании вины, Аксой обязан, помимо отбывания тюремного срока, выплатить Cisco компенсацию в размере $100 миллионов и разрешить уничтожение всей поддельной продукции на миллионы долларов.

Источник: https://www.securitylab.ru/news/547958.php

По данным правозащитной организации Amnesty International , Индонезия тайно приобретает шпионское ПО через запутанную сеть посредников, простирающуюся от Израиля до Греции, Сингапура и Малайзии. Организация утверждает, что ее расследование выявило системную проблему: многие страны не могут должным образом регулировать и обеспечивать прозрачность экспорта технологий двойного назначения. Речь идет о программах для слежки, а также об оборудовании, на котором они размещаются. Использование подобных технологий представляет серьезную угрозу правам человека. В ходе расследования эксперты Amnesty International использовали открытые источники разведданных, включая коммерческие торговые базы и картирование инфраструктуры, чтобы отследить закупки в период с 2017 по 2023 год. Было установлено, что покупателями выступали Индонезийская национальная полиция и Национальное агентство по кибербезопасности и криптографии. Поставщиками оказались компания Q Cyber Technologies, связанная с печально известной НСО Group, консорциум Intellexa, Saito Tech (он же Candiru), FinFisher и ее «дочка» Raedarius M8, а также Wintego Systems. Однако закупки зачастую осуществлялись окольными путями через посреднические организации, созданные под ширмой номинальных секретарей. Идентифицировать истинных владельцев таких фирм было крайне трудно, особенно в офшорных зонах вроде Сингапура. «Когда реальные владельцы скрываются подобными методами, мониторить цепочки поставок товаров двойного назначения становится практически невозможно. Это серьезно затрудняет общественный контроль над государственными закупками», — отмечается в расследовании. Более того, некоммерческая организация обнаружила, что отдельные платформы шпионского ПО были связаны с доменами и инфраструктурой, используемыми для вредоносных целей. «Среди таких вредоносных доменов оказались сайты, имитирующие ресурсы оппозиционных политических партий, а также крупных национальных и местных СМИ, в том числе из провинций Папуа и Западная Папуа, которые освещают случаи нарушения прав человека», — пишут правозащитники. Несмотря на упоминание медиа Западной Папуа, где давно идет сепаратистское противостояние, в Amnesty признали, что у них нет данных о конкретных личностях, которые могли подвергнуться слежке. Равно как нет и прямых улик использования этих технологий против отдельных индивидов. Впрочем, такая сверхсекретность вполне может быть частью замысла разработчиков. Специалисты указывают, что в Индонезии попросту нет эффективных регулировок, которые могли бы предотвратить злоупотребление шпионскими программами. Расследование проводилось при участии ряда других организаций, включая израильскую Haaretz, австралийский Inside Story, индонезийский Tempo, исследовательский коллектив WAV и Woz.

Источник: https://www.securitylab.ru/news/547952.php

Команда Rust представила новую версию языка программирования — Rust 1.78.0. Язык Rust, ориентированный на создание надёжного и эффективного ПО, продолжает развиваться, предлагая разработчикам новые возможности для улучшения качества и производительности проектов.
Как обновиться до новой версии.
Если у вас уже установлена предыдущая версия Rust через rustup, выполните команду в терминале:
$ rustup update stable
Для тех, кто ещё не установил rustup, его можно загрузить с официального сайта. На сайте также доступны подробные заметки о нововведениях версии 1.78.0.
Нововведения в версии 1.78.0:
Диагностические атрибуты: Версия 1.78.0 вводит новое пространство имён атрибутов #[diagnostic], которое позволяет влиять на сообщения об ошибках компилятора. Например, атрибут #[diagnostic::on_unimplemented] можно использовать для кастомизации сообщений, когда требуемый трейт не реализован для типа. Это предоставляет авторам трейтов возможность более точно указывать на проблемы в коде, что улучшает понимание и исправление ошибок при разработке.
Утверждения небезопасных предусловий: Стандартная библиотека Rust теперь улучшена с добавлением утверждений для предусловий небезопасных функций, которые активируются в зависимости от настроек пользователя. Это изменение увеличивает шансы на обнаружение и предотвращение неопределённого поведения кода, даже если ранее оно могло казаться работоспособным.
Детерминированное выравнивание: Усовершенствованы функции, которые изменяют выравнивание указателей и срезов. Теперь эти функции обещают более последовательное поведение во время выполнения, что делает их использование более надёжным и предсказуемым.
Стабилизация API и изменения в системных требованиях.
В Rust 1.78 также стабилизирован ряд API, включая Barrier::new() и несколько реализаций, связанных с std::error::Error. Среди важных изменений — повышение минимальных системных требований до Windows 10 для ряда целей и обновление встроенного LLVM до версии 18, что улучшает совместимость и исправляет известные проблемы с ABI.
Дополнительно, описан новый язык программирования Borgo, разработанный с целью сочетать простоту Go и безопасность Rust, предлагая баланс между выразительностью и сложностью. Borgo использует статическую типизацию и совместим с пакетами Go, при этом код компилятора Borgo написан на Rust и распространяется под лицензией ISC.

Источник: https://www.securitylab.ru/news/547951.php

Группа китайских исследователей проанализировала конфигурации почти 14 000 государственных сайтов Китая и обнаружила недостатки безопасности, которые могут привести к кибератакам.
В ходе работы под названием SilkSecured специалисты рассмотрели:
разрешение доменных имен;
использование сторонних библиотек;
службы удостоверяющих центров (Certificate Authority, CA);
сервисы доставки контента (Content Delivery Network, CDN);
интернет-провайдеров (Internet Service Providers, ISP);
внедрение HTTPS;
интеграцию IPv6;
реализацию DNSSEC (Domain Name System Security Extensions);
производительность сайтов.
В ходе анализа было обнаружено множество проблем:
более 25% доменов государственных сайтов не имели записей name server (NS), что может свидетельствовать о неэффективной конфигурации DNS и возможной ненадежности или недоступности.
выявлена «заметная зависимость» от пяти провайдеров DNS-услуг – нехватка разнообразия, которая может открыть сетевую инфраструктуру для единых точек отказа.
в 4 250 системах использовались версии библиотеки JavaScript jQuery, подверженные XSS-уязвимости CVE-2020-23064 (CVSS: 6.1), то есть сайты могли стать мишенью удаленной атаки, известной уже около 4 лет.
выявлены проблемы с подписями DNSSEC – обнаружено 101 несогласованность между записями поддоменов и записями подписи ресурсов.
широкий спектр уязвимостей, включая проблемы с заголовками, отсутствие защиты от CSRF-атак, отсутствие политик безопасности контента и утечку информации о внутренних IP-адресах.
Несмотря на умеренно распределенную географию интернет-провайдеров, используемых государственными сайтами, исследователи посчитали избыточность серверов недостаточной для оптимальной безопасности и надежности.
Исследователи пришли к выводу, что выявленные проблемы могут не иметь быстрого решения. Уязвимость систем к кибератакам подчеркивает «острую необходимость постоянного мониторинга и обнаружения вредоносной активности». Также отмечена потребность в «жестком отборе и регулярном обновлении» сторонних библиотек. Авторы призывают к «диверсифицированному распределению сетевых узлов» для повышения устойчивости и производительности систем. Результаты исследования вряд ли будут благосклонно восприняты в Пекине, учитывая призывы правительства КНР к улучшению цифровых госуслуг и часто выпускаемые указания об улучшении кибербезопасности.

Источник: https://www.securitylab.ru/news/547944.php

Компания Microsoft предупредила Android-пользователей о новой атаке, получившей название «Dirty Stream». Она позволяет вредоносным приложениям перезаписывать файлы в домашнем каталоге другого приложения, что может привести к выполнению произвольного кода и краже секретов. Ошибка возникает из-за неправильного использования системы контент-провайдера Android, которая управляет доступом к структурированным наборам данных, предназначенным для совместного использования различными приложениями. Эта система включает изоляцию данных, разрешения URI и меры безопасности проверки пути для предотвращения несанкционированного доступа, утечек данных и атак с обходом пути. При неправильной реализации пользовательские намерения (Intent-ы), представляющие собой объекты обмена сообщениями, облегчающие обмен данными между компонентами в приложениях Android, могут обходить эти меры безопасности. Атака «Dirty Stream» позволяет вредоносным приложениям отправлять файл с изменённым именем файла или путём — другому приложению, используя пользовательское намерение. Целевое приложение вводится в заблуждение, заставляя доверять имени файла или пути, и выполняет или сохраняет файл в критическом каталоге. Такое манипулирование потоком данных между двумя приложениями Android превращает обычную функцию уровня операционной системы в опасный инструмент и может привести к несанкционированному выполнению кода, краже данных или другим вредоносным результатам. Исследователь Microsoft Димитриос Вальсамарас отметил, что подобных некорректных реализаций, к сожалению, множество. Они влияют даже на те приложения, которые были установлены из Google Play уже более четырёх миллиардов раз. К уязвимым программам относятся, в частности, File Manager от Xiaomi с более чем миллиардом установок и офисный пакет WPS с около 500 миллионами пользователей. Обе компании уже исправили обнаруженные в своём софте проблемы. Для предотвращения аналогичных уязвимостей в будущем Microsoft поделилась своим исследованием с сообществом Android-разработчиков, а Google обновила своё руководство по безопасности приложений с учётом допущенных ошибок. Что касается конечных пользователей, то они могут защититься, своевременно обновляя устанавливаемые программы и избегая загрузки APK-файлов из ненадёжных источников.

Источник: https://www.securitylab.ru/news/547943.php