Ростелеком-Солар отметил уязвимости open source-браузера Brave

Ростелеком-Солар отметил уязвимости open source-браузера Brave

Ростелеком-Солар отметил уязвимости open source-браузера Brave

Эксперты компании «Ростелеком-Солар» провели исследование защищенности популярных пользовательских приложений с открытым исходным кодом для ПК. Анализ 10-ти open-source программ продемонстрировал, что ряд обнаруженных уязвимостей в случае успешной эксплуатации злоумышленниками открывают доступ ко всем данным пользователей, которые хранятся на компьютерах в незашифрованном виде. При этом абсолютное большинство людей не шифруют свои данные на ПК.

Рынок программного обеспечения с открытым исходным кодом находится на этапе бурного роста. Начиная с 2014 года, в комьюнити наблюдается ежегодный интенсивный приток участников: только в 2019 году к сообществу open source присоединилось более 1,3 млн новых авторов. С 2018 года мировые ИТ гиганты вроде Microsoft прекратили борьбу с открытым ПО и стали вносить свой вклад в развитие индустрии. По прогнозам мировых экспертов, к концу 2021 года объем использования продуктов с открытым исходным кодом в компаниях вырастет на 77% по сравнению с аналогичным периодом текущего года.

В связи с ростом популярности open source-приложений как в корпоративной, так и в пользовательской среде специалисты «Ростелеком-Солар» решили проверить уровень защищенности наиболее популярного свободного ПО для ПК в самых востребованных пользователями категориях с помощью инструмента Solar appScreener. Были отобраны приложения в категориях «браузеры», «офисные пакеты», «графические редакторы», «текстовые редакторы», «программы восстановления данных», «редакторы диаграмм», «программы расширенного поиска файлов и папок в Windows», «программы для очистки компьютера» и «эмуляторы видеоигр». Таким образом, в исследовании приняли участие приложения Brave browser, LibreOffice, Krita, Notepad++, TestDisk & PhotoRec, GIMP, Dia, Search Everything, BleachBit и RetroArch.

По результатам автоматизированного сканирования лидером рейтинга защищенности open source-приложений для ПК является программа для восстановления данных TestDisk & PhotoRec. Она не содержит критических уязвимостей в коде и при этом имеет минимальное количество уязвимостей среднего уровня среди всех исследованных приложений. Чуть большее число уязвимостей средней критичности содержит бесплатный аналог Adobe Photoshop – приложение GIMP. Уровень защищенности обеих программ Solar appScreener оценил в 4.2 балла.

Неожиданно слабые результаты – 1.3 балла из 5.0 – продемонстрировал популярный браузер с открытым исходным кодом Brave Browser, который по состоянию на июнь 2020 года имеет в активе 15 млн ежемесячных пользователей и до 5 млн ежедневных. В просканированном ядре браузера критические уязвимости в коде встречаются 15 раз, что превышает предельно допустимый показатель в 5 единиц, чтобы не опуститься ниже среднего по рынку общего уровня защищенности. Это обстоятельство не позволяет считать данное приложение безопасным для использования.

Впрочем, самые низкие показатели защищенности отмечены у популярного эмулятора видеоигр для ПК с открытым исходным кодом RetroArch (0.8 балла из 5.0). Программа имеет наибольшее количество вхождений критических уязвимостей.

«Для исследованного свободного ПО характерны такие серьезные бреши, как заданные в исходном коде пустые ключи шифрования, пустые пароли, указанные в явном виде конфиденциальные данные. Эти уязвимости несут серьезную угрозу данным пользователей на тех компьютерах, на которых это ПО установлено. В целом, результаты проверки наглядно демонстрируют, в каких приложениях активно используются заимствованные из сторонних библиотек части кода, а какие программы написаны разработчиками максимально собственными силами. В последнем случае количество уязвимостей и НДВ в коде заметно ниже, и, соответственно, выше защищенность пользовательских данных, к которым приложение имеет доступ», – подчеркнул директор центра решений безопасности ПО компании «Ростелеком-Солар» Даниил Чернов.

Сервисы для анализа были отобраны согласно позициям в обзоре «11 лучших программ с открытым исходным кодом в 2020 году», а также исходя из количества скачиваний мобильных версий данных приложений в Google Play и App Store. В свое исследование эксперты «Ростелеком-Солар» включили 10 приложений из 11-ти, представленных в данном обзоре, обойдя вниманием программу для создания цифровых Lego-моделей Stud.io ввиду специфичности ее применения узкой аудиторией.

Анализ безопасности кода приложений осуществлялся автоматически с помощью Solar appScreener – российского программного продукта для проверки защищенности приложений. Решение использует методы статического, динамического и интерактивного анализа.

 

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В США оглашены обвинения по делу предполагаемого разработчика LockBit

В окружном суде штата Нью-Джерси огласили обвинения, выдвинутые против Ростислава Панева. Гражданину России и Израиля инкриминируют соучастие в разработке кодов LockBit и обеспечении работы сервиса на основе этого шифровальщика (RaaS).

Арест 51-летнего подозреваемого состоялся в августе этого года в Израиле. Вопрос о его экстрадиции в США пока не решен.

Согласно материалам дела, в период с 2019 года по февраль 2024-го Панев за плату помогал стоящей за LockBit ОПГ совершенствовать RaaS-зловреда, который применялся против тысяч организаций в 120 странах и принес вымогателям не менее $500 млн в виде выкупа за возврат зашифрованных данных.

В ходе обыска на компьютере задержанного были обнаружены учетки администратора репозитория кода, размещенного в даркнете. Как оказалось, в нем хранились исходники билдера LockBit разных версий.

Там же были обнаружены ключи доступа к панели управления шифровальщиком и исходные коды инструмента StealBit, предоставляемого подписчикам RaaS для вывода украденных данных.

По имеющимся свидетельствам, за свои услуги Панев ежемесячно получал примерно $10 тыс. в криптовалюте. За 20 месяцев главный админ LockBit-сервиса Дмитрий Хорошев суммарно перевел ему более $230 тысяч.

В ходе допросов арестованный признал, что оказывал содействие группировке LockBit в качестве программиста, разработчика и консультанта, а также что получал плату за услуги в криптовалюте. В частности, им были созданы коды для нейтрализации антивирусов, развертывания зловреда в корпоративных сетях и вывода на печать записки с требованием выкупа.

Арест Панева был проведен по итогам совместного расследования ФБР и партнеров из 11 стран. Перед этим международной правоохране удалось обезвредить часть инфраструктуры LockBit — взять под контроль серверы, заблокировать сайты.

В Нью-Джерси в настоящее время открыто семь дел в связи с распространением продуктивного шифровальщика. Кроме Панева и Хорошева, обвинения выдвинуты против предполагаемых подписчиков RaaS Михаила Васильева и Руслана Астамирова; оба уже сознались в совершении преступлений и ждут приговора.

Параллельно с операцией по ликвидации инфраструктуры LockBit в том же штате были оглашены обвинения, выдвинутые против Артура Сунгатова и Ивана Кондратьева, использующего ник Bassterlord. Им тоже инкриминируют проведение атак с использованием шифровальщика; оба фигуранта пока не пойманы.

США также очень надеются заполучить и призвать к ответу Михаила Матвеева, известного как Boriselcin и Wazawaka. По данным ФБР, россиянин использовал в атаках не только LockBit, но и других шифровальщиков, однако американцам придется встать в очередь: недавно стало известно, что Матвеева будут судить на родине за создание аналогичного вредоноса.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru