книги хакеры / журнал хакер / 203_Optimized

ная с Windows Vista и заканчивая Windows 10. Один бюллетень безопасности закрыл баг с memory corruption (нарушением целостности информации в оперативной памяти) в Internet Explorer. Через этот баг атакующий мог получить доступ к машине жертвы с теми же правами, что и залогиненный пользователь. Уязвимость коснулась и нового браузера компании — Edge. Второй бюллетень закрыл бреши, которые позволяли атакующему удаленно исполнить произвольный код на машине жертвы. Восемь других бюллетеней (с MS15-116 по MS15-123) содержали исправления «важных» багов в Microsoft Office, .NET Framework и Skype.

Однако в это же время вышло первое большое обновление для Windows 10, известное как Threshold 2, Windows 10 Fall Update или Windows 10 November Refresh. В него, по словам разработчиков, вошли функции, которые Microsoft исходно планировала добавить еще в релиз-версию операционной системы. Однако, как оказалось, кроме обещанных функций, добавили и такие, которые способны обрадовать разве что самых мрачных параноиков: после этого апдейта система снова начала шпионить за пользователем. Более того — она начала без спроса удалять программы.

Оказалось, апдейт самостоятельно деактивирует ряд программ, в числе которых инструменты для мониторинга железа CPU-Z и Speccy, а также AMD Catalyst Control Center, Cisco VPN и даже некоторые драйверы SATA. После установки обновления и перезагрузки устройства пользователь получает сообщение о том, что программа более не совместима с Windows 10, поэтому была удалена. Все файлы приложения переносятся в каталог Windows.old, где не могут причинить системе вреда.

Стоит сказать, что до выхода свежего обновления подвергшиеся удалению программы действительно работали не совсем корректно. Все они часто аварийно завершали свою работу, что порой приводило к синему экрану смерти. Пользовательское соглашение разрешает операционной системе предпринимать такие шаги, если приложение представляет угрозу безопасности системы или неспособно работать должным образом под управлением Windows 10.

Еще один существенный недостаток ноябрьского апдейта обнаружили не сразу. Первым некую странность заметил исследователь Эрик Воган (Eric Vaughan), о чем и рассказал в своем блоге. Оказывается, компания Microsoft вовсе не удалила из системы сервис Diagnostics Tracking Service, который курировал работу шпионско-диагностического процесса DiagTrack. Компания попросту переименовала его в Connected User Experiences and Telemetry. Более того, после обновления пользовательские настройки обнулились, то есть система вновь шпионит за пользователем, будто ранее ей не запрещали этого делать.

Эрик Воган пишет, что способ деактивации остался прежним: лучше всего отключить сервис через services.msc. Хотя сам эксперт предпочел удалить его вовсе.

Еще один неоднозначный шаг MS — объявление о том, что с 12 января 2016 года будет официально прекращена поддержка всех версий браузера Internet Explorer, за исключением новейшей IE11. Конечно, компания просто действует рационально: теперь, когда у Microsoft есть новый браузер Edge, ей больше не нужен Internet Explorer. Та половина интернета, которая занималась разработкой и поддержкой веб-сервисов, вздохнула после этой новости с облегчением. Однако бизнес-сегмент и госучреждения будут вынуждены перейти на IE11 или Edge, так как по закону они обязаны использовать актуальные версии программного обеспечения, которые поддерживает производитель.

Таким нехитрым способом Microsoft начала «пропихивать» новую версию своего браузера на рынок. А чтобы лучше мотивировать обновиться обычных пользователей, Microsoft перечислила возможные риски, которые могут возникнуть из-за использования старых версий. Среди них — уязвимость перед лицом вирусов, шпионского ПО и прочих вредоносов, а также тот факт, что современный софт зачастую не поддерживает устаревшие версии браузеров вовсе. Почему за все эти годы данные уязвимости так и не были устранены

— компания предпочла не пояснять.

Наконец, третью атаку в ноябре Microsoft провела на платформу Android, решив последовать примеру Apple. В сентябре 2015 года компания Apple представила приложение для Android с лаконичным названием Move to iOS («Переходи на iOS»). Программа, наделавшая много шума, помогает за несколько простых шагов перенести на iOS всю личную информацию: контакты, историю сообщений, фотографии и видеоролики, закладки из браузера, почтовые аккаунты, календарь.

Microsoft решила сделать нечто похожее. Ее приложение AppComparison после инсталляции на Android изучает девайс и установленные на нем приложения, а затем рассказывает, какие из них будут доступны на Windows 10 Mobile. Для тех приложений, которых на Windows Mobile 10 нет, программа пытается подобрать подходящие аналоги. Просто и наглядно... если бы не одно но: мобильная Windows 10 до сих пор испытывает серьезную нехватку самых разных программ, на что моментально указали пользователи. Так что попытка вышла смелая, но довольно спорная. Впрочем, время покажет.

Заявление Anonymous повлекло за собой быстрое развитие событий. Уже через пять дней, 17 ноября 2015 года, в официальном твиттере #OpParis появилась запись о том, что Anonymous успешно «вывели из строя» более 5500 аккаунтов членов ИГ в социальной сети.

Поддержали идею кибервойны против ИГ и этичные хакеры из контртеррористической группы Ghost Security Group (GSG): анонимный член группы рассказал о нескольких Bitcoin-кошельках, которые предположительно используются ИГ для финансирования террористических операций. Один из изученных хакерами аккаунтов на тот момент содержал порядка трех миллионов долларов в биткойнах. Публичным же проявлением позиции Ghost Sec был взлом пропагандистского сайта ИГИЛ в сети Tor, где хакеры тонко поиздевались над экстремистами: на агитационном ресурсе Isdarat появился баннер фармацевтического сайта, который за биткойны продает любые средства, от виагры до прозака. Кроме баннера, хакеры оставили послание:

«Слишком много ИГИЛ. Успокойтесь. Слишком много людей вовлечено в эту ИГИЛ-фигню. Пожалуйста, посмотрите эту замечательную рекламу, пока мы обновляем нашу инфраструктуру, чтобы предоставить вам побольше ИГИЛ-контента, которого вы так жаждете».

Каким образом члены Ghost Sec взломали сайт, неизвестно. Но недавно эксперт по информационной безопасности Скот Тербан (Scot Terban) рассказал в своем блоге, что члены ИГ допускают абсолютно «детские» ошибки. Стоит хотя бы сказать, что сайты ИГ зачастую работают под управлением уязвимых версий WordPress.

Запрещенное в РФ решением Верховного суда Исламское государство, в свою очередь, не оставило без внимания выпады Anonymous: по официальным каналам ИГ распространили «памятку», информирующую о том, как нужно вести себя в интернете, чтобы не попасть под атаку хактивистов. Террористам ИГ и «сочувствующим» рекомендуют не открывать ссылки, полученные из неизвестных источников, почаще менять IP-адреса, не разговаривать в Telegram и других IM с незнакомыми людьми, не пользоваться в Twitter личными сообщениями и не создавать email-адресов, аналогичных имени пользователя в Twitter.

Совет «не разговаривать в Telegram с незнакомыми людьми», впрочем, выглядит излишним: в ноябре сервис самостоятельно провел массовую зачистку каналов, которые используются террористами. Официальный Twitter мессенджера сообщил о бане 78 каналов, так или иначе связанных с деятельностью Исламского государства; в основном компания ориентировалась на жалобы пользователей, присланные на адрес abuse@telegram.org. Кроме того, частные исследователи напоминают, что Telegram нельзя считать идеально защищенным и абсолютно непрослушиваемым: многие методы шифрования в нем отключены автоматически, оставшиеся — требуют аккуратной настройки.

Однако не все хакеры мира противостоят ИГ, среди них есть и сочувствующие. В ноябре Госдеп стал жертвой атаки иранских хакеров, длившейся почти месяц: хакеры сумели вычислить конкретных сотрудников, которые занимаются вопросами Ирана и Ближнего Востока, после чего на них была направлена фишинговая атака, затронувшая почту и социальные сети. Интересно, что сотрудники Госдепартамента не замечали ничего необычного, пока им не начали приходить уведомления от Facebook: социальная сеть предупреждала, что аккаунты сотрудников были скомпрометированы и стали предметом интереса спонсируемых правительствами хакерских групп. Очевидно, сами госслужащие до сих пор не знакомы даже с базовыми правилами сетевой безопасности и не знают, что такое фишинг.

Facebook запустила эту систему оповещения пользователей в конце октября. Тогда социальная сеть пообещала предупреждать жертв атак «правительственных» хакеров только при наличии «неоспоримых улик, подтверждающих данные выводы». Похоже, сейчас мы видим первый яркий пример работы новой системы — а также первые признаки того, что крупные интернет-компа- нии не собираются оставаться в стороне от политики.