Информационная безопасность IT

Количество вредоносных элементов в открытом коде растет

С февраля на порядок увеличилось количество выявляемых вредоносных элементов открытого программного обеспечения (ПО). Только «Лаборатория Касперского» нашла как минимум 100 подобных вложений в иностранном ПО с открытым кодом на разных платформах. В качестве закладок программисты, выступающие против военных действий РФ на Украине, стали оставлять скрипты, выводящие, например, баннеры с политическими призывами или вирусы-шифровальщики, парализующие работу продуктов. Однако подобные действия уже встретили протест в самом профильном международном сообществе.

Количество закладок в открытых программных кодах (Open Source), то есть умышленно созданных вредоносных частей, увеличилось в 20 раз с февраля, рассказали “Ъ” в одной из крупных компаний, специализирующихся на кибербезопасности. Рост такой угрозы можно отсчитывать с нулевой базы, потому что раньше этот инструмент у хакеров не был популярен, уточняет источник “Ъ”. В «Лаборатории Касперского» рассказали, что с февраля выявили 100 вредоносных элементов в иностранном ПО с открытым кодом, опубликованных в различных репозитариях (хранилище для разработки): закладки «в том числе содержат провокационный контент или призывы к каким-либо действиям». Как правило, закладки связаны с политическими мотивами.

Действия варьируются от простого хулиганства (скриптов, выводящих пропагандистские баннеры) до внедрения вирусов-шифровальщиков, уточнил ведущий эксперт по импортозамещению ПО «Крок» Александр Донин.

В частности, по его словам, угрозы были замечены в программных пакетах Ctx, phppass и Winbox, распространяемых с различных репозиториев. Недавно автор популярной библиотеки node-ipc добавил вирус-шифровальщик для ip России и Белоруссии, который портит всю файловую систему пользователям, говорит ведущий инженер CorpSoft24 Михаил Сергеев. Число инцидентов, по мнению экспертов, будет расти.

Ключевой риск закладок заключается в том, что если в Open Source проект был интегрирован вредоносный код, то угроза появляется и в решениях тех разработчиков, кто использовал более ранние версии, объясняет руководитель подразделения безопасности программного обеспечения «Лаборатории Касперского» Дмитрий Шмойлов: «Если вендор постоянно не проверяет используемый открытый код, то пострадать могут все пользователи его продукта». Поэтому если в более 100 Open Source решений заложена угроза, то заражено может оказаться огромное количество программ во всех компаниях, использующих их элементы в своей работе, подчеркивает он.

В конце февраля, после начала военных действий РФ на Украине, стало известно о других рисках для российских программистов, работающих с открытым кодом.

В частности, они потеряли доступ к некоторым проектам Open Source, размещенным на международной площадке GitHub (см. “Ъ” от 28 февраля). Еще одной проблемой, по словам экспертов, может стать отсутствие обновлений и поддержки проектов из-за санкций. Такой случай произошел в 2017 году с открытой ОС Fedora Linux: ее разработчики внесли изменения в пользовательское соглашение, по которым ПО не может передаваться «в запрещенные экспортным контролем США страны, в том числе Крымский регион Украины».

Между тем российские власти и компании в условиях ограничения доступа к лицензионному западному софту делают большую ставку на развитие Open Source. Минцифры в этом году планирует провести эксперимент под открытой лицензией исходных кодов принадлежащего государству ПО. Open Source начали использовать и в кибербезопасности: в мае на рынок вышла платформа Cyberok, которая собирает из открытых компонентов готовые продукты для заказчиков.

Важно, что Open Source сообщество саморегулируемое и после первых же инцидентов, как с отказом в работе, так и с вредоносной закладкой в ПО, выступило против подобных действий в своей среде, говорит руководитель направления исследований и специальных проектов ГК «Астра» Роман Мылицын: «Такие изменения в коде несут вред всем пользователям, а не только работающим на конкретных территориях». Еще хуже, по его мнению, что дискредитируется все Open Source сообщество. Поэтому, утверждает эксперт, с угрозами «уже борются разработчики открытых решений по всему миру, независимо от политических взглядов».

Источник: https://www.kommersant.ru/doc/5391850

Я всех категорически приветствую! И сразу приношу тысячу и одно извинение, если напутал с сообществом/тегами/прочими премудростями, всё же мой первый пост на Пикабу, но я честно старался!

Я думаю Вы, как и я, регулярно наблюдаете посты о том, как люди хотят погрузиться в мир IT, став "программистами". Но, как правило, темы и вопросы идентичны - выбор языка и с чего начать. Читая комментарии к этим постами я пару раз натыкался на ответы, в которых люди советуют "копать" в сторону ИБ, но тема как правило не раскрывается. Отсюда у меня возник  вопрос: "А что нужно, чтоб построить карьеру в ИБ?", который я и хочу задать уважаемым пикабушникам, ведь именно здесь, на пикабу, можно увидеть несколько разных мнений на один комментарий, что не дает возможности воспринимать любой ответ за чистую монету.

Когда я начал гуглить этот вопрос и читать статьи столкнулся с мнением, что прежде всего, хороший ИБ вырастает только из сисадмина. Действительно ли это так? Ведь, насколько я понимаю, в ИБ много направлений, и настолько ли действительно нужен непосредственный опыт работы сисадмина или все таки базовые знания?

Немного о себе. Я не молод :). Прежде всего мой опыт работы связан с проверками, я работал зам. нач. отдела- ревизором службы (ж/д, безопасность движения, соответственно внутренний контроль, аудиты, приказы, распоряжения и т.д., вплоть до разработки инструкций), потом ушел к "частникам" в технический аудит (проверял определенные заводы, нормативная документация, факт выполнения ремонтных работ и т.д.). На данный момент занимаюсь вообще какой-то ерундой, никак не связанной с прошлым опытом (так получилось). Короче говоря, глядя на свой прошлый опыт и взглянув в "профессии будущего" :) меня заинтересовала ИБ. Сейчас, для общего представления и понимания будет ли резкое отторжение от всей этой специфики, почитывая книгу Лутца ковыряюсь в Питоне (был выбран как самый простой язык для начала).

А теперь и главные вопросы. Учитывая все вышеописанное если ли смысл лезть в ИБ и если да, то в каком направлении лучше двигаться, с чего начать и куда смотреть?

Спасибо, если вы это дочитали и еще извините за некий сумбур, создание первого поста  вызвало у меня волнение :D

Привет!

Решил рассказать как мы расследовали DDoS атаку на свой проект. Это не реклама моего проекта, просто хочу поделиться тем, как это работает. Так что упоминать что за проект не буду. Возможно, механика этой атаки поможет кому-то справиться с атакой на его проект.

Думаю, многим Пикабушникам может быть не известно что такое DDoS атака или они представляют это примерно. Ну если вы не айтишник, конечно. Расскажу просто и понятно: смысл атаки в том, чтобы закидать сервер (сайт) ненужными запросами, чтобы он просто физически не успевал отвечать на все запросы и в итоге был недоступен. Обычно это делается с множества зараженных устройств, которые в один момент вместе начинают делать запросы, а их хозяева об этом даже и не знают. 

Зачем это делают? Ну, так можно "уронить" сайт конкурента и получить преимущество. Ведь пользователи не будут ждать, пока сайт оживет, они уйдут к конкуренту. А того, кто заказал атаку потом фиг найдешь. Атакуют то устройства, что заражены, а не сам заказчик.

А еще это могут делать, чтобы предотвратить распространение или нераспространение информации. Именно по этому многие СМИ в России попали под атаки. Те, кто вообще ничего не пишет про известные действия, либо те, кто высказывается "за".

Вернемся к теме. В один момент мы заметили, что сайт сильно тормозит и даже иногда недоступен. Стали разбираться. Оказалось, что на сайт приходит больше 2 миллионов запросов в день на адреса типа https://сайт/?CszXcMgwhNGzq3YfY. Буковки после знака "?" всегда разные.

Угу, значит атакующие решили не просто открывать сайт, а еще и с уникальным адресом, чтобы наша кэш-система (а это специальная такая штука, которая позволяет не выполнять код на сервере каждый раз, а, если ничего не меняется, просто отдавать сразу готовую страницу), постоянно пропускала запрос и сервер был сильнее нагружен ненужными вычислениями.

Стали изучать логи доступа и обнаружили, что трафик идет со многих сайтов. В интернете есть такая клевая штука как HTTP referer, это такой специальный заголовок в запросе на сайт, который рассказывает ему с какого сайта пришел запрос. Сайты заражаются каждый день и добавляются, но на текущий момент - вот список этих сайтов (конкретно сегодня я не проверял все, может какие то уже и вылечили):

Лучше не открывайте их, это просто для информации! Если вы можете как то связаться с администрациями этих сайтов, то сообщите им, пожалуйста, что их взломали и заразили.

5sfer .com
vituo .by
d-d-d .spb .ru
language .az
priboi .news
proputeshestvie .ru
gzocm .ru
picworld .ru
gelengizer .ru
ilike .guru
lnvistnik .com .ua
vsfedotov .com
prosvetlenie .pro
eraofunity .world
propestit .ru
jantrish .com
imda .uz
criminology-center .org
navremy .ru
csedu .ru
obu4alka .ru
autotopik .ru
линуксблог .рф
graj .by
sn-portal .ru
coinspaidmedia .com
yanva .ru
subcultures .wiki
bibl20 .ru
gazeta-vestnik .com .ua
media-zvezda .ru
krutomama .ru
vlg-34 .ru

Как я заметил, сайты построены на системе WordPress, так что следите за своими сайтами на этой CMS, если у вас такие есть. Видимо, там есть неопубликованные уязвимости.

Зайдя на сайты и посмотрев что там происходит мы не ожидали, что сайты открываются и через минуту зависает браузер.  Стали изучать код и нашли сам скрипт вируса. Он без всяких ограничений в бесконечном цикле бомбордирует запросами множество сайтов самых разных СМИ и блогов России. Но списка сайтов для атаки нет нигде в коде.

Изучая скрипт мы нашли адрес сайта, с которого берется список сайтов, на которые нужно слать запросы. Вот он: aHR0cHM6Ly9qcXVlcnkuZnJhMS5kaWdpdGFsb2NlYW5zcGFjZXMuY29tL2pxdWVyeS5qc29u

Айтишники могли сразу понять что это такое. Для тех, кто не понял, поясню. Это закодированный через алгоритм Base64 адрес сайта. Можно расшифровать например тут base64decode.org.

Но я расшифрую для вас: https://jquery.fra1.digitaloceanspaces.com/jquery.json

Адрес притворяется популярной библиотекой у разработчиков jquery, в надежде на то, что его не заметят или, как минимум, не сразу найдут. Если открыть ссылку, то там нас встречает еще один непонятный для не айтишников текст. (Открыть можно, там нет ничего страшного).

Там закодированные в том же Base64 адреса сайтов, на которые нужно вести атаку.

Надеюсь, этот пост поможет в отражении атаки тем, кто тоже есть в списке атакуемых сайтов, если по каким-то причинам им так и не удалось справиться с атакой. Что конкретно с этим всем делать администраторы и сами прекрасно знают.)

Спасибо за внимание!

UPD: вставил пробелы в списке зараженных сайтов, чтоб редактор сам не превращал их в ссылки. Этот список для того, чтоб, если есть контакты с владельцами, им могли сообщить о проблеме, а не для того, чтоб посещать эти сайты.

Владельцам облака, который содержит список для атаки ботнета был отправлен запрос на эту тему в специальную форму на сайте. На текущий момент (24 апреля 2022 г.) ответа не поступало.