BOMBERuss

Дополнительное изучение вопроса показало, что такое поведение свойственно лишь Visual Studio 15. Вызовы телеметрических функций появляются и в отладочных, и в финальных сборках. Насколько можно судить, они сохраняют информацию, но не отправляет её Microsoft.

Агрессивный сбор данных телеметрии уже становился поводом для скандала. Windows 10 передаёт Microsoft сведения о компьютере, установленных приложениях и драйверах, а также о некоторых аспектах его работы. Предполагается, что телеметрия помогает разработчикам Windows идентифицировать и решать проблемы, связанные с безопасностью и надёжностью. Критики Microsoft сравнивают сбор данных телеметрии со слежкой и требуют его отключить.

Пост на Reddit с жалобой на Visual Studio привлек внимание Microsoft. Представитель компании вмешался в обсуждение и рассказал, что в действительности происходит. По его словам, задача, которую призваны решать эти вызовы, совершенно невинна. Они собирают информацию о проблемах с производительностью, чтобы помочь установить их причины и в перспективе улучшить качество оптимизатора.

Он объяснил, что телеметрические функции, которые встраивает Visual Studio C++, срабатывают в случае появления событий ETW. Для интерпретации данных о событиях необходима отладочная информация (PDB), которой у Microsoft нет. Это означает, что собранные сведения могут быть использованы лишь в том случае, если пользователь сам обратится в Microsoft и предоставит компании всё необходимое для расследования. В реальности этого пока ни разу не случалось.

Microsoft планирует убрать эту функциональность в третьем апдейте Visual Studio C++. Пока этого не произошло, программист может избежать включения телеметрических функций, добавив в командную строку компоновщика notelemetry.obj.

FAA сообщило, что проблемы GPS могут возникнуть 7, 9, 21, 23, 28 и 30 июня 2016 года, так как в каждый из этих дней, с 9.30 утра до 15.30 дня, будут проводиться некие военные испытания. При этом на земле вряд ли что-нибудь заметят: потенциальная потеря сигнала может происходить лишь на высоте 15 метров от земли (50 футов) и выше, и распространяется скорее на воздушные суда.

Представители Федерального управления авиации не рекомендуют пилотам (особенно частных реактивных самолетов бизнес-класса, таких как Embraer Phenom 300) показываться в зоне испытаний в указанные дни, так как у них могут возникнуть «проблемы обеспечения устойчивости и управляемости воздушного судна».

Карта, приведенная ниже, была опубликована FAA. На ней хорошо видно, что зона испытаний растянулась до самой границы со штатами Колорадо и Вайоминг.

Фото: центр испытания вооружений авиации ВМС США Чайна Лейк, Wikipedia

Добрый день!

Меня зовут Максим и я директор по продуктам. Эта история началась с того, что однажды я зашел с мобильного телефона на наш сайт и, к своему большому удивлению, был перенаправлен на сайт какой-то интернет-рулетки. Попробовал зайти еще раз – проблема не повторяется, подумал что глюк. Попросил коллег попробовать зайти с мобильного телефона – и волосы встали дыбом. Один «стал миллионным посетителем и выиграл машину», второй – «получил подарочный депозит на форекс», третий был обрадован «ваучером на 50 000 рублей», а многие вообще попали на сайты с нескромно одетыми женщинами, делающими всякое. Для тех кто задумался о том, что может быть причиной, подсказка – сайт не взламывали. Вредоносный код мы добавили сами, пользуясь одним популярным маркетинговым инструментом. Расследование под катом.

Проблема

Спонтанные редиректы на сторонние сайты с сомнительным контентом при заходе на наш сайт с мобильных устройств.

Подозрения

-Партнерский js-код

-Встраивание со стороны интернет-провайдеров (парсинг и изменение трафика)

-Проблемы с телефоном, например вирус

Расследование

Проблема воспроизводилась на разных устройствах, в том числе на эмуляторе, а значит дело не в телефоне. Также редирект повторялся у всех операторов и на wi-fi. Значит дело в партнерском коде.

При помощи Chrome DevTools мы эмулировали мобильное устройство и стали пытаться воспроизвести редирект. Поймали! В сетевых логах нашлась уйма странных подгруженных ресурсов. Проверить их содержимое не удалось – при переходе браузер сохраняет пути к файлам, но не их содержимое. Остался только первый переход – storagemoon.com – агрегатор, который выкидывал через цепь редиректов на сомнительные сайты.

Ладно, тогда мы пойдём другим путем.

В консоли браузера вставляем отладочный код:

window.addEventListener("beforeunload", function() { debugger; }, false)

Он отрабатывает при начале перехода на новую страницу. Далее стали заходить на Фоксфорд, вычищая кэш. В очередной раз снова повезло – переход инициировал скрипт по адресу edmp.ru/pix/as_551.js.

Сам скрипт затягивался из партнерского кода ElonLeads.

Справедливости ради, с ElonLeads мы уже не работаем несколько месяцев, но после отключения не убрали код ретаргетинга.

Разбор работы этого скрипта для мобильных устройств (скрипт по этому адресу с десктопа выглядит иначе):

При первой загрузке скрипта пользователя перенаправляет по адресу storagemoon.com. Кроме этого, в localStorage записывается под ключом ”MenuIdentifier” следующее время редиректа, а именно ровно через сутки. В течение суток скрипт будет вести себя тихо и никому не мешать.

Однако на бекенде тоже есть какая-то логика. Потому что данный скрипт подгружается только на мобильных, и не всегда в первый раз.

Возможно, каждому 10-му, например, или через какое-то время. Возможно, запоминается IP. Иначе должен быть редирект сразу после очистки localStorage.

Сам код скрипта в читаемом виде:

function() {
function t() {
return !!localStorage.getItem(a)
}
function e() {
o(), parent.top.window.location.href = c
}
function o() {
var t = r + i;
localStorage.setItem(a, t)
}
function n() {
if (t()) {
var o = localStorage.getItem(a);
r > o && e()
} else e()
}
var a = "MenuIdentifier",
r = Math.floor((new Date).getTime() / 1e3),
c = "http://storagemoon.com",
i = 86400;
n()
}();

В дополнение, можно заметить по истории whois, что домен edmp.ru, с которого загружается скрипт, уводящий пользователя в неведомые дали, поменял владельца с ELONLID, LLC на Private Person. Видимо, тогда и начались фокусы.

И, в заключение, партнерский код ElonLeads, затягивающий именно этот edmp.ru/pix/as_551.js:

<script defer="defer" id="elpix">
try {

(function(){
window.elon = {
shop: 4,
user: {{user_id}}
};
var script = document.getElementById('elpix'), as_name = 'as_551', as = document.createElement('script');

Что произошло (на наш взляд)

ElonLeads, CPA сеть, счётчики которой стояли на тысячах сайтов, потеряла (продала?) доступ к домену edmp.ru. С этого домена тянулся js скрипт, который веб-мастера устанавливали на сайт, чтобы присоединиться к CPA сети. Злоумышленники смогли подменить скрипт и продолжают зарабатывать деньги на редиректах на сомнительные сайты. Были ли они в сговоре с ElonLeads – неизвестно. Однако своих партнёров ElonLeads никак не предупредила о смене кода счётчиков. Поэтому, возможно, и с вашего сайта тоже идут редиректы на интернет рулетки и прочий развод.

Надеюсь, эта статья поможет тем, кого в данный момент также обманывают CPA-сети.

Эксперты компании Rapid7 использовали всю мощность инфраструктуры Project Sonar, чтобы ответить на простые вопросы: почему небезопасен интернет, какие порты забывают закрывать администраторы в разных странах, и чем это грозит? Исследование вышло подробным и очень интересным, к примеру, исследователи обнаружили более 20 млн открытых FTP и почти 8 млн баз MySQL.

«Я вряд ли сумею перечислить вам топ-10 самых прослушиваемых портов в интернете. Наверное, я мог бы попытаться угадать первые два, однако не существует доступных данных о том, что именно уязвимо через те или иные порты в разных странах мира», —

рассказывает Тод Бирдсли (Tod Beardsley), главный ИБ-исследователь Rapid7.

Специалисты Rapid7 поставили перед собой амбициозную задачу: собрать такую информацию и сделать ее доступной для ученых, представителей IT-индустрии, исследователей и экспертов. Начиная с апреля 2016 года компания использовала свой Project Sonar для сбора нужных данных. По сути, исследователи Rapid7 провели глобальное сканирование портов по всему миру, изучив IPv4 диапазон (проверялись 30 самых используемых TCP портов) и вычислив наиболее уязвимые места.

Вышедший отчет обещает стать первым из многих, так как эксперты планируют продолжить наблюдения. Как часто будут публиковаться результаты сканирований, неизвестно, пока в Rapid7 выбирают между ежегодным и ежемесячным форматами.

С полной версией отчета можно ознакомиться здесь (PDF). Ниже перечислим наиболее интересные цифры и факты.

14,8 млн устройств открыты для Telnet-соединений. Так как Telnet-трафик не шифруется, злоумышленникам достаточно легко удается перехватить учетные данные. При этом Telnet до сих пор очень популярен на рынке IoT-устройств и домашних роутеров, чем и пользуются преступники.

К счастью, SSH все же популярнее Telnet в полтора раза: таких портов обнаружено 21,6 млн, а значит администраторы все чаще предпочитают использовать более защищенные технологии.

Также были замечены 76,2 млн устройств, полагающихся на HTTP, и 50,5 млн девайсов, использующих HTTPS.

Но Telnet, конечно, не единственное «слабое звено».

Отчет гласит, что было обнаружено:

-20,3 млн открытых FTP-портов;

-8,8 млн портов RDP (Remote Desktop Protocol);

-7,8 млн портов MySQL;

-5,2 млн портов RFB (используются для Virtual Network Computer – VNC-соединений);

-более 3,3 млн портов MSSQL.

В сумме 11,2 млн устройств предоставляют прямой доступ к различным БД. Еще 4,2 млн являются принтерами или подключены к ним. Более 4,7 млн систем имеют открытый порт 445/TCP, который является одним из самых атакуемых для систем Microsoft.

На основе собранных данных, исследователи также составили «индекс раскрытия» по странами. Он демонстрирует, сколько устройств было просканировано в каждом регионе, и какой результат показала каждая страна. Худшие показатели продемонстрировали Бельгия, Таджикистан и Самоа. В этих странах было обнаружено наибольшее количество устройств с открытыми портами, которые потенциально могут представлять опасность.