14 апреля, 2023
Рисёрч с человеческим лицом.
Прошу прощения за использование профессионального сленга: «рисёрчем» мы называем публикуемые исследования о кибератаках, уязвимостях и прочих неприятных событиях в киберпространстве. Будучи важной частью мирового экcпертного комьюнити сообщества, которое общается на английском, это накладывает на нас определённую профессиональную деформацию :)
Пока некоторые разработчики-пустышки массируют пользователям мозги маркетинговой лапшой об их, пустышек, революционных искусственно-интеллектуальных изобретениях (которые на поверку оказываются примитивными методами машинного обучения, неспособными к проактивному обнаружению угроз), наши технологии по-настоящему работают.
В наших (и ваших тоже :) продуктах давно работает один из лучших в мире (это я на всякий случай поскромничал, потому что на самом деле «лучше» мне неизвестны) поведенческих движков для предотвращения эксплуатации уязвимостей в софте. И он регулярно, проактивно выявляет новые уловки кибер-негодяев, которые они используют, чтобы незаметно просочиться на ваши компьютеры.
В феврале движок сообщил о подозрительной активности, связанной с ранее известной атакой на подсистему логирования Windows. Копнули — ба! — зеродей! Ой, простите, снова профессиональная деформация :) Зеродей = уязвимость нулевого дня, то есть открытая дыра в Windows, для которой ещё нет «лекарства». Оказалось, что этот зеродей использовал шифровальщик Nokoyawa.
Отработали находку в лучших традициях кодекса «ответственного раскрытия» (для читателей с профессиональной деформацией — responsible disclosure :): добавили защиту, предупредили Microsoft, передали технические детали, дождались выхода обновления и теперь рассказываем.
Казалось бы, и всё на этом. Нет зеродея — нет проблемы. В каком-то смысле да, но нет — хотелось бы добавить послесловие к этому посту, чтобы раскрыть значение «человеческого лица» в заголовке.
Сегодня в условиях сильно покрепчавшего геополитизма рушатся основы международного сотрудничества в разных сферах, в том числе кибербезопасности. Некоторых разработчиков вынуждают рвать налаженные каналы общения с коллегами из других, «неправильных» стран, некоторые идут на это сознательно, следуя за «me too» поветрием. Иные падают глубже, публично заявляя об отказе от обнаружения кибер-угроз, исходящих из «правильных» стран. А кое-кто тихо «крышует» уязвимости, используемые доморощенными спецслужбами. В любом случае, от этого выигрывают только кибер-негодяи — в отсутствие обмена информацией между защитниками им гораздо проще обтяпывать свои «ароматные» дела.
Наш свежий рисёрч (пусть будет «рисёрч») ещё раз красноречиво подчёркивает, что, несмотря ни на что, мы защищаем вас от *любой* зловредности, вне зависимости от её происхождения, паспорта и намерений. Зло есть зло и оно должно быть наказано. Причём делаем это этично, по лучшим практикам доверительного сотрудничества, чтобы вы могли спокойно работать в интернетах.
Теперь дело за вами — обновите Windows!
Подробности о найденной уязвимости здесь.