Мир за неделю: в Америке обороняются от романтических афер и проверок Илона Маска

Европол готовится к квантовым атакам злоумышленников, власти Великобритании превращают киберпространство в «новую линию фронта», шпионское ПО грозит Apple, американцы платят за романтику в криптовалюте, НПО хотят закрыть Илону Маску доступ к персональным данным служащих США, а ФБР озабочено уязвимостями переполнения буфера

Европол предупреждает финансовый сектор о «неминуемой» квантовой угрозе

Европейский сектор финансовых услуг должен начать планировать переход на квантово-безопасную криптографию уже сейчас, поскольку растет риск атак «хранить сейчас, расшифровывать позже» (store now decrypt later, SNDL), предупреждает Европол. Группа по контролю за соблюдением правил выступила с призывами на своём мероприятии Quantum Safe Financial Forum (QSFF).

Ожидается, что квантовые компьютеры со временем смогут взломать криптографию с открытым ключом (асимметричное шифрование), которая в настоящее время используется для защиты глобальных финансовых транзакций, процессов аутентификации и цифровых контрактов. Хотя считается, что эти машины появятся не раньше, чем через десятилетие, атаки SNDL сжимают этот временной график, если злоумышленники уже крадут конфиденциальные данные с целью расшифровать их позже, когда появятся квантовые возможности. Также возможно, что по мере увеличения финансирования в эту область научные прорывы ускорят появление так называемых «криптографически релевантных квантовых компьютеров» (CRQC)

С учётом этого QSFF Европола в итоговом документе «Призыв к действию» дал пять рекомендаций:

1. Финансовые учреждения и политики должны отдать приоритет переходу на квантово-безопасную криптографию.
2. Координация между различными заинтересованными сторонами должна улучшиться, включая согласование дорожных карт, целей и стратегий внедрения.
3. Добровольная структура, созданная между регулирующими органами и частным сектором, будет достаточной для продвижения инициатив и стандартизации в области квантовой криптографии.
4. Необходима перспективная структура управления криптографией.
5. Также необходимо большее трансграничное сотрудничество и обмен знаниями между государственными и частными организациями.

В прошлом году Национальный институт стандартов и технологий США (NIST) официально объявил о первых трёх «квантово-безопасных» алгоритмах, выпустив их в качестве официальных стандартов постквантовой криптографии. Банковская отрасль Великобритании уже предупреждала об угрозе со стороны CRQC и ещё в 2023 году изложила ряд рекомендаций, призывающих правительство начать переход к квантовой безопасности.

Финансовые услуги остаются популярной целью для злоумышленников. Отчёт Contrast Security на прошлой неделе показал, что 64% банков подверглись атакам за предыдущий год, причем более половины из них (54%) заявило, что данные были уничтожены злоумышленниками. В ожидании появления CRQC организациям настоятельно рекомендуется некоторое время использовать новые стандарты шифрования наряду с традиционными, чтобы сгладить переход.

Вооруженные силы Великобритании ускоряют набор специалистов по кибербезопасности

Военные Великобритании ускоряют набор специалистов по кибербезопасности, предлагая кандидатам одну из самых высоких начальных зарплат в вооруженных силах. Киберновобранцы будут получать начальную зарплату более 40 тыс. фунтов стерлингов с возможностью дополнительной оплаты на основе навыков по мере приобретения ими знаний и опыта.

6 февраля Министерство обороны Великобритании (МО) объявило о новом индивидуальном пути поступления в армию для начинающих киберпрофессионалов. Эта схема позволит сократить базовую подготовку киберновобранцев с десяти недель до примерно одного месяца, после чего они пройдут трёхмесячную специализированную подготовку. Это обучение будет проводиться в Академии кибербезопасности в Шривенхэме, Оксфордшир.

Планируется, что новобранцы будут включены в оперативные киберроли к концу 2025 года. Некоторые из этих ролей будут подразумевать обеспечение безопасности сетей и служб вооруженных сил Великобритании в цифровом штабе МО в Коршаме, Уилтшир. Другие войдут в состав Национальных киберсил Великобритании, проводящих наступательные кибероперации с целью пресечения деятельности враждебных государственных и негосударственных киберсубъектов, угрожающих национальной безопасности.

Ускоренный путь входа осуществляется на фоне растущего числа кибервторжений со стороны враждебных государств за пределами открытого вооруженного конфликта. Министерство обороны заявило, что за последние два года Великобритания пережила 90 тыс. таких атак.

Правительство подчеркнуло меняющийся характер военных действий, при этом кибервозможности используются наряду с физическими атаками. В результате вооруженные силы должны быть соответствующе оснащены для решения этой проблемы. Новая схема также направлена на решение «кризиса» набора и удержания в вооруженных силах, в том числе на должностях в сфере кибербезопасности, добавило правительство Великобритании.

Министр вооруженных сил Люк Поллард прокомментировал: «Крайне важно, чтобы мы усилили нашу киберзащиту, быстро отслеживая самых ярких и лучших киберспециалистов, чтобы помочь защитить Великобританию и наших союзников. Мы вступаем в новую эру угроз, и киберпространство становится новой линией фронта».

В ноябре 2024 года канцлер герцогства Ланкастер Пэт Макфадден сделал алармистское заявление о том, что Россия планирует разрушительные кибератаки против Великобритании, в том числе потенциально нацеленные на электросети.

Apple устраняет «чрезвычайно сложную» уязвимость нулевого дня

Пользователям iPhone и iPad от Apple настоятельно рекомендуется обновить свои устройства после того, как компания выпустила новое обновление безопасности, призванное устранить уязвимость нулевого дня, эксплуатируемую в неконтролируемом пространстве.

CVE-2025-24200 был обнаружен Биллом Марчаком из Munk School Университета Торонто. Всемирно известная академическая исследовательская группа университета Citizen Lab обнаружила бесчисленное множество угроз нулевого дня в прошлом, многие из которых были разработаны производителями коммерческого шпионского ПО и, возможно, использовались национальными государствами.

Описание атаки Apple, похоже, подтверждает это. «Физическая атака может отключить режим ограниченного доступа USB на заблокированном устройстве. Apple известно о том, что эта проблема могла быть использована в чрезвычайно сложной атаке против конкретного целевого лица», — отмечается в нём.

Обновления iOS 18.3.1 и iPadOS 18.3.1 устраняют «проблему авторизации», обнаруженную Марчаком, с помощью «улучшенного управления состоянием». Citizen Lab обнаружила многие из 20 уязвимостей нулевого дня, исправленных Apple в 2023 году, в том числе цепочку эксплойтов BlastPass, включающую CVE-2023-41064 и CVE-2023-41061, которые использовались для доставки шпионского ПО Pegasus от занесённой в чёрный список израильской фирмы NSO Group.

В тот же период Марчак и Мэдди Стоун из Google помогли обнаружить ещё три уязвимости нулевого дня iOS, которые активно эксплуатировались в дикой среде: CVE-2023-41991, CVE-2023-41992 и CVE-2023-41993.

Прошлый год был для Apple более спокойным с точки зрения ошибок нулевого дня: их было обнаружено всего несколько. Однако техгигант был вынужден обновить свою документацию в апреле 2024 года, чтобы отразить возросшую угрозу со стороны наёмного шпионского ПО.

Адам Бойнтон, старший менеджер по стратегии безопасности EMEIA в Jamf, призвал всех пользователей iOS немедленно обновить свои смартфоны и планшеты — даже несмотря на то, что для эксплуатации, скорее всего, потребуется физический доступ к устройству.

«Воспользовавшись этой уязвимостью, злоумышленник может получить полный доступ администратора к устройству, что позволит ему выдавать себя за владельца и запускать любое программное обеспечение от его имени, — пояснил он. — Обновление устройств с помощью последних обновлений — один из самых эффективных способов защиты от злоумышленников».

Романтические аферы обошлись американцам в 697,3 млн долларов в прошлом году

Почти 59 тыс. американцев стали жертвами любовных мошенничеств в 2024 году, потеряв около 697,3 млн долларов. Согласно новому отчёту Comparitech, хотя количество зарегистрированных случаев сократилось на 6% по сравнению с 2023 годом, финансовые потери остаются ошеломляющими.

Романтические мошенничества, которые часто связаны с эмоциональными манипуляциями, теперь всё чаще дополняют схемы криптовалютного и инвестиционного мошенничества, когда жертв убеждают переводить средства под предлогом финансовых возможностей. Отчёт гласит: в Аризоне зафиксирован самый высокий уровень мошенничества на 100 тыс. жителей, в то время как Калифорния лидирует по общим потерям с 104,8 млн долларов из 6687 случаев.

В документе также раскрывается растущая тенденция мошенничества с «двойным стволом» (double-barreled). В таких случаях скамеры сначала выдают себя за романтических партнёров, а затем убеждают жертв инвестировать в фальшивые криптовалютные схемы. По данным Центра жалоб на интернет-преступность (IC3), в 2023 году романтические мошенничества повлекли 215,8 млн долларов убытков, связанных с криптовалютой.

ИИ усугубляет ситуацию, позволяя злоумышленникам создавать поддельные профили, писать убедительные сообщения и генерировать реалистичные изображения, чтобы более эффективно манипулировать жертвами.

Несмотря на эти тревожные цифры, в тексте отчёта говорится, что случаи романтического мошенничества значительно занижены. По данным исследования AARP, жертвами таких мошенничеств стали 4% американцев, что составляет более 13 млн человек. Однако официально сообщается лишь о небольшой части этих случаев — около 3,6%. Comparitech оценивает совокупный финансовый ущерб от романтического мошенничества в 535 млрд долларов.

Эксперты призывают проявлять бдительность, чтобы не стать жертвой этих схем. Распространёнными тревожными сигналами являются просьбы перенести разговоры с платформ знакомств или неопределённая личная информация. Чтобы защитить себя, людям следует избегать предоставления личных данных незнакомцам и консультироваться с доверенными друзьями или семьей перед принятием финансовых решений.

EFF возглавляет борьбу против DOGE и доступа Маска к данным федеральных служащих США

Фонд Electronic Frontier Foundation (EFF) возглавляет коалицию, которая пытается помешать Департаменту эффективности государственного управления Илона Маска (DOGE) получить доступ к данным миллионов государственных служащих в США. 11 февраля НПО вместе с отдельными федеральными служащими США и несколькими профсоюзами служащих, включая Американскую федерацию государственных служащих и Ассоциацию судей по административным делам, подала иск против DOGE и Управления кадров США (OPM).

В жалобе истцы просили Суд Южного округа Нью-Йорка заблокировать DOGE доступ к личной информации миллионов американцев, хранящейся в OPM, и удалить все данные, собранные или удалённые из баз данных на данный момент. Они утверждают, что доступ DOGE к данным OPM является нарушением федерального Закона о конфиденциальности 1974 года, который защищает информацию, хранящуюся федеральными агентствами.

DOGE был создан президентом Трампом в январе для сокращения федеральных расходов и устранения чрезмерного регулирования. Несмотря на свое название, DOGE не является официальным департаментом в исполнительной ветви власти правительства США, а временной, контрактной организацией, работающей в рамках US DOGE Service (USDS), которая ранее называлась US Digital Service — и частью OPM.

Истцы утверждают, что Маск и другие сотрудники DOGE получили доступ к компьютерным сетям OPM, не будучи государственными служащими.

НПО также заявляет, что эта практика нарушает Закон о конфиденциальности, который требует письменного согласия на раскрытие правительственных записей о гражданах. Хотя в Законе содержится 12 исключений из этого требования, EFF отмечает, что доступ сотрудников DOGE к данным OPM не подпадает ни под одно из этих исключений.

Как федеральное кадровое агентство США, OPM обрабатывает одну из самых обширных в стране баз данных о федеральных служащих.

«В дополнение к персональным данным (PII), таким как имена, номера социального страхования и демографические данные, сюда входит опыт работы, профсоюзная деятельность, зарплаты, производительность и понижения в должности; информация о состоянии здоровья, такая как страхование жизни и медицинские льготы; финансовая информация, такая как назначение пособий в случае смерти и сберегательные программы; и соглашения о неразглашении секретной информации», — заявила НПО.

Возможные злоупотребления информацией включают нарушения конфиденциальности, риск политического давления и шантажа, целевые кибератаки и широкий доступ к конфиденциальным оперативным данным правительства.

Иск был подан через несколько дней после того, как федеральный судья заблокировал доступ DOGE к определённым данным Казначейства и приказал уничтожить ранее собранную информацию в ответ на иск группы штатов США.

CISA и ФБР предупреждают об уязвимостях переполнения буфера

Новое предупреждение Агентства по кибербезопасности и безопасности инфраструктуры США (CISA) и Федерального бюро расследований (ФБР) изложило стратегии устранения уязвимостей переполнения буфера в программном обеспечении.

Уязвимости переполнения буфера возникают, когда ПО неправильно обращается к памяти, что приводит к таким рискам, как повреждение данных, сбои и несанкционированное выполнение кода. Злоумышленники используют эти недостатки для проникновения в сети, часто используя их в качестве точки входа для более масштабных атак.

Ведомства призвали разработчиков принять следующие стратегии:

1. Использовать безопасные для памяти языки программирования (вроде Rust) для нового кода.
2. Внедрить защиту компилятора, например, проверки во время выполнения и canary-релиз.
3. Выполнять состязательное тестирование со статическим анализом и фаззингом.
4. Опубликовать дорожные карты для перехода от устаревшего кода к альтернативам, безопасным для памяти.

Саид Аббаси, менеджер по исследованию уязвимостей в Qualys Threat Research Unit (TRU), подчеркнул настоятельную необходимость устранения небезопасных практик: «Оправдания устаревшим версиями отпали; в 2025 году мир нетерпим к небезопасному для памяти коду. Да, переписывать старые системы — страшно, но позволять злоумышленникам использовать переполнения буфера, возникшие десятилетия назад, ещё хуже <...> Переполнения буфера — это не неизбежность; это невыполнение приоритетов».

Помимо этого, документ говорит о трёх основных принципах безопасной разработки программного обеспечения:

1. Право собственности на результаты безопасности: производители должны устранять уязвимости заблаговременно, сокращая зависимость от исправлений и обновлений.
2. Прозрачность: поставщики должны чётко раскрывать уязвимости и поддерживать надёжные протоколы реагирования на инциденты.
3. Стратегическое лидерство: руководители должны требовать безопасных для памяти переходов и отдавать приоритет долгосрочным инвестициям в безопасность.

Аббаси раскритиковал организации за неоправданное использование небезопасных языков программирования, отметив, что они «рискуют превратить незначительные уязвимости в масштабные нарушения — и они не могут претендовать на неожиданность». Он призвал к коллективным действиям, настоятельно рекомендуя руководству требовать безопасных для памяти практик, а покупателям — привлекать поставщиков к ответственности.

В предупреждении также подчёркивается успешный переход Google, Microsoft и Mozilla на безопасные для памяти языки, демонстрирующий, что эти изменения осуществимы и экономически эффективны. CISA и ФБР призвали производителей и потребителей принять обязательство «Безопасность при проектировании» (Secure by Design) и отдать приоритет продуктам, изначально заложенным в систему безопасности.