Новая версия операционной системы Apple для компьютеров Mac, macOS Sequoia, привела к неожиданным проблемам. Пользователи и разработчики сообщили о массовых сбоях в работе популярных антивирусов и других инструментов безопасности.

Источник изображения: Gabriela Gonzalez/Unsplash

Судя по всему, macOS Sequoia оказалась несовместима с программным обеспечением от таких компаний, как CrowdStrike, SentinelOne, Microsoft и ESET. По сообщению издания TechCrunch, в социальных сетях и на специализированных форумах пользователи жалуются на проблемы с подключением к сети, некорректную работу брандмауэров и другие сбои, и во всём винят разработчиков антивирусов.

«Как разработчику инструментов безопасности для macOS, мне невероятно обидно снова и снова сталкиваться с расстроенными пользователями, которые обвиняют в поломке своих Mac наши инструменты, хотя на самом деле это вина Apple», — сетует Патрик Уордл (Patrick Wardle), основатель стартапа DoubleYou, занимающегося разработкой инструментов безопасности.

Известная компания CrowdStrike в день выхода macOS Sequoia сообщила в Slack-канале для администраторов Mac, что им вообще пришлось отложить поддержку новой версии операционной системы. Представитель компании отметил, что «очень сожалеет о том, что невозможно оказать поддержку безопасности Sequoia с первого дня, несмотря на предыдущий опыт быстрого реагирования на новые обновления Apple». CrowdStrike отправила своим клиентам техническое оповещение, в котором указывает на вынужденные изменения в среде безопасности на macOS.

Проблемы с новой операционной системой Apple затронули не только корпоративных пользователей. Исследователь безопасности Уилл Дорманн (Will Dormann) написал в Mastodon, что у него возникли проблемы с DNS и запуском брандмауэра на его Mac. Другой эксперт по безопасности, Вацлав Яцек (Wacław Jacek) столкнулся с блокировкой доступа к веб-браузерам после обновления. Судя по ветке Reddit, macOS Sequoia также вызвала проблемы у пользователей браузера Firefox.

Компании SentinelOne, ESET и SentinelOne Agent также обнаружили трудности с сетевым подключением после обновления операционной системы до macOS Sequoia. На данный момент Apple никак не прокомментировала ситуацию и не ответила на запросы журналистов. Разработчики антивирусного ПО работают над решением проблемы, однако пока неясно, как скоро пользователи macOS Sequoia смогут вздохнуть спокойно.

Microsoft раскрыла детали закрытого саммита по безопасности Windows Endpoint Security Ecosystem Summit, организованного в ответ на масштабный сбой Windows, произошедший в июле из-за некорректного обновления антивирусного ПО CrowdStrike. На нём компания обсудила с партнёрами разработку в Windows новой платформы, специально предназначенной для антивирусного мониторинга, вытесняя продукты безопасности из ядра операционной системы (ОС).

Источник изображения: Microsoft

Компания подчеркнула: «Хотя это не было совещанием для принятия решений, мы верим в важность прозрачности и взаимодействия с сообществом». Примечательно, что саммит был закрыт для журналистов, что подчёркивает его техническую направленность.

Ключевой причиной июльского инцидента стал привилегированный доступ антивирусного ПО к ядру Windows — критическому компоненту ОС. Этот механизм, позволяющий антивирусам эффективно отслеживать вредоносные изменения в глубинах системы, одновременно представляет потенциальную угрозу для её стабильности. В случае с CrowdStrike сбой в механизмах валидации обновлений позволил проскочить ошибке, что привело к сбою Windows на компьютерах по всему миру.

Изначально Microsoft рассматривала возможность полного отзыва доступа к ядру для сторонних программ, что могло бы трансформировать Windows в более закрытую ОС, подобную Apple macOS. Однако по итогам саммита компания отказалась от столь радикальных мер. Вместо этого Microsoft сосредоточится на разработке новой платформы, предоставляющей расширенные возможности безопасности вне режима ядра, тем самым пойдя на встречу своим клиентам и партнёрам.

На саммите Microsoft и её партнёры детально обсудили технические аспекты создания новой платформы. Ключевыми темами стали обеспечение производительности вне режима ядра, разработка механизмов защиты от несанкционированного доступа для программ безопасности и определение требований к сенсорам безопасности для антивирусного мониторинга. Microsoft подчеркнула долгосрочный характер проекта по разработке нового уровня безопасности Windows в тесном сотрудничестве с партнёрами по экосистеме.

Штатное антивирусное решение Microsoft Defender, используемый в операционных системах Windows, считается достаточно надёжным, но и оно может чрезмерно усердствовать в процессе работы. Оказалось, что антивирус определяет текстовый файл всего с одной строкой как троянскую программу Trojan:Win32/Casdet!rfn.

Источник изображения: Shutterstock

На эту особенность обратил внимание пользователь социальной сети X с ником yappy. Если ввести в блокноте фразу «This content is no longer available» (Этот контент больше недоступен) или «This content is no longer available!», и сохранить его в виде текстового файла на компьютере, то Microsoft Defender незамедлительно пометит его как троянскую программу и удалит с устройства, независимо от того, под каким именем файл был сохранён.

Заинтересовавшиеся подобным поведением антивируса пользователи изучили вопрос более детально и пришли к выводу, что причиной ложного срабатывания Microsoft Defender могла стать коллизия SHA-256. Они предполагают, что антивирус распознаёт обычный текстовый файл как вредоносный из-за того, что упомянутая фраза неоднократно использовалась злоумышленниками в различном вредоносном ПО.

Источник изображения: X / yappy

Вероятно, в скором времени Microsoft исправит ошибку, из-за которой антивирус распознаёт текстовый файл как троян. Что именно стало причиной такого поведения Microsoft Defender, пока неизвестно.

Администрация президента США Джозефа Байдена (Joseph Biden) приняла решение о блокировке продаж и использования программного обеспечения российской компании «Лаборатория Касперского» на территории США, сообщает агентство Reuters, ссылаясь на источник, знакомый с ситуацией. Причина — угроза национальной безопасности.

Источник изображения: Kaspersky.ru

Сообщается, что решение было принято после того, как было установлено, что «тесные связи Kaspersky Lab с российским правительством представляют серьёзную угрозу национальной безопасности США». А привилегированный доступ антивирусного программного обеспечения к компьютерным системам может быть якобы использован для кражи конфиденциальной информации, установки вредоносных программ или отказ в критически важных обновлениях.

Запрет будет распространяться на государственные учреждения, компании критической инфраструктуры, местные органы власти и других крупных корпоративных клиентов «Лаборатории Касперского» в США. Обычным пользователям также не рекомендовано использовать данное ПО, но ответственности за это не предусмотрено, в отличие от компаний, которым по новому закону США грозит ответственность вплоть до уголовной, если Минюстом будет доказано, что нарушение было умышленным.

Новые ограничения на продажу, перепродажу, загрузку обновлений и лицензирование программного обеспечения «Лаборатории Касперского» вступят в силу 29 сентября, то есть через 100 дней после публикации, чтобы дать компаниям время найти альтернативное ПО. Бизнес Касперского в США будет заблокирован через 30 дней после объявления ограничений. Продажа продуктов с «белой маркировкой» (White Label), которые интегрируют ПО «Лаборатории Касперского», продаваемое под другой торговой маркой, также будет запрещена, сообщает источник, отметив, что Министерство торговли заранее уведомит компании, прежде чем принять меры.

По не ясно, какое влияние окажут новые санкции на компанию Касперского, чей бизнес уже и так подпадает под действие жёстких экспортных ограничений США, что делает практически невозможным попадание в Россию любых произведённых в США товаров, кроме продуктов питания и медицинских товаров. Включение компании в чёрный список также может серьёзно ограничить её зарубежные производственные цепочки.

Специализирующаяся на продуктах в области информационной безопасности компания Avast оштрафована на $14,8 млн Управлением по защите личных данных Чехии (ÚOOÚ) за незаконную обработку личных данных 100 млн пользователей антивируса и браузерных расширений.

Источник изображения: Avast

По мнению ÚOOÚ, Avast вводила в заблуждение пользователей утверждениями об использовании надёжных методов анонимизации данных, тогда как часть собираемой информации всё же могла быть использована для идентификации пользователей. Установлено, что в 2019 году Avast передала данные 100 млн пользователей своих продуктов занимавшейся продажей аналитики поведения пользователей и закрытой в 2020 году дочерней компании Jumpshot.

Avast уже заявила, что не согласна с выводами ÚOOÚ и рассматривает возможность дальнейших судебных действий, а также подчеркнула приверженность защите данных клиентов и их конфиденциальности. Компания не первый раз оказывается в эпицентре подобных скандалов. В феврале Федеральная торговая комиссия (FTC) США обвинила Avast в незаконной продаже данных пользователей, оштрафовав на $16,5 млн. По словам FTC, Avast годами собирала информацию о действиях клиентов в интернете, включая их поисковые запросы и посещаемые веб-сайты, используя собственные расширения браузера. Полученные данные передавались всё той же ныне закрытой Jumpshot.

Чешская компания Avast Software полностью покинула российский рынок, в связи с чем на территории страны перестали работать продукты разработчика, такие как антивирусы Avast и AVG, а также утилита для очистки и оптимизации системы CCleaner. Пользователям продуктов Avast придётся перейти на альтернативные решения других поставщиков или же искать способы обхода блокировки.

Источник изображений: comss.ru

Уход чешской компании из России стал заметен 29 января, когда появились сообщения пользователей, согласно которым мобильные и десктопные приложения Avast перестали функционировать. К примеру, при попытке запуска антивируса Avast появляется сообщение «К сожалению, этот продукт не поддерживается в вашем текущем местоположении», что говорит об отсутствии поддержки приложения в регионе.

В дополнение к этому российским производителям заблокирован доступ к сайтам Avast и AVG, в том числе avast.ru, который попросту отключили. Напомним, о намерении уйти с рынка России Avast объявила в марте 2022 года. Представители компании пока не комментируют полное отключение своих продуктов, но на странице техподдержки есть информация касательно данного вопроса.

«В связи с регулированием экспорта из-за недавних событий мы не можем предоставлять наши услуги и поддержку пользователям в России и Беларуси. Если вы являетесь текущим пользователем и используете наши продукты, их некоторые функции могут не работать, или вы можете столкнуться с ошибками при использовании наших сервисов и программ. Приносим свои извинения за возможные неудобства и благодарим вас за то, что являетесь нашим клиентом», — сказано в сообщении Avast.

Российский рынок пользовательского программного обеспечения для кибербезопасности сократился в годовом выражении более чем на 60 %, сообщил «Коммерсант» со ссылкой на данные аналитиков. Резкое падение продаж ПО объясняется уходом крупных западных разработчиков, а также сокращением покупательной способности россиян и ростом использования пиратских копий Windows, пользователи которых загружают пиратские копии антивирусов или бесплатные утилиты.

Источник изображения: Pixabay

Согласно данным крупной аналитической компании (официально не работает в РФ, но продолжает поставлять информацию участникам рынка), с которыми ознакомился «Коммерсант», за 5 месяцев 2023 года объём продаж ПО для кибербезопасности в потребительском сегменте сократился на 61 % до 195 тыс. лицензий. В денежном выражении рынок сократился до 268 млн руб. (падение — 61 %).

Доля лидирующей «Лаборатории Касперского» выросла в штучном выражении с 80 % в прошлом году до 94 %, хотя число проданных лицензий сократилось на 54 %. У словацкой ESET падение в продажах в штуках и деньгах составило почти 100 %, у российской Dr.Web («Доктор Веб») — 14 и 25 %, у чешской Avast — 92 и 83 % соответственно. ESET и Avast официально покинули российский рынок после начала событий на Украине.

Вместе с тем выросли продажи в 1,5 раза в штучном и денежном выражении у Bitdefender — подразделения румынской SoftWin, занимающейся разработкой антивирусов, брандмауэров и спам-фильтров, тоже сообщавшего в прошлом году о приостановке работ в России. По мнению заместителя гендиректора «Гарда Технологий» Рустэма Хайретдинова, рост может быть связан с действиями ретейлеров, которые начали предлагать румынское ПО вместе с ноутбуками и другими устройствами. В свою очередь, директор департамента проектирования «Информзащиты» Анатолий Ромашев объясняет это эффектом низкой базы.

В «Лаборатории Касперского» заявили, что за январь–май продажи её продуктов для частных пользователей выросли в годовом выражении более чем на 10 %, что объясняется импортозамещением, а также пересмотром подхода к предоставлению кибербезопасности в начале года. В настоящее время компания предлагает частным пользователям киберзащиту в формате единого решения.

Рустэм Хайретдинов объясняет сокращение рынка пользовательской безопасности в том числе уходом из России продукции Microsoft, поскольку на ОС Windows приходится самая крупная часть рынка антивирусов. «С переходом пользователей на пиратские ОС и программы упал и спрос на официальные антивирусы — пользователи либо также стали скачивать их пиратские версии, либо использовать бесплатные программы, количество которых также растёт», — говорит эксперт.

Руководитель отдела технологической экспертизы департамента ИБ Softline Денис Чигин поддержал выводы Хайретдинова, отметив, что на падение спроса повлияла также общая для пользователей привычка экономить в условиях кризиса.

Очередной жертвой хакерской группировки Cl0p, активно эксплуатирующей уязвимость файлообменной платформы MOVEit стала компания Gen Digital, дочерними компаниями которой являются разработчики антивирусов Avast и Norton. В результате атаки добычей киберпреступников стали персональные данные сотрудников компании.

Источник изображения: Gerd Altmann / pixabay.com

Gen Digital подтвердила 20 июня, что в результате атаки вируса-вымогателя, эксплуатирующего уязвимость службы MOVEit, были похищены персональные данные сотрудников компании: имена, домашние адреса, рабочие идентификаторы и адреса электронной почты. В Gen Digital пояснили, что попытались устранить известные уязвимости в системе, но избежать атаки не смогли — при этом удалось избежать ущерба технологическим системам и службам компании, не были также похищены данные клиентов и партнёров.

В файлообменной службе MOVEit была обнаружена критическая уязвимость, которой присвоили номер CVE-2023-34362. Эксплуатация уязвимости осуществляется посредством SQL-инъекции, а специализируется на ней хакерская группировка Cl0p. Примечательно, что атака продолжилась после выпуска закрывающего уязвимость патча — пострадали уже более сотни организаций. В качестве дополнительных защитных мер рекомендуется «спрятать» приложение за VPN, прокси-сервером или посадочной страницей с формой авторизации.

Компания VK сообщила о доступности пользователям магазина Android-приложений RuStore встроенного антивируса, с помощью которого можно проверить мобильное устройство на предмет наличия вредоносного ПО и цифровых угроз.

В основу новинки положены технологии «Лаборатории Касперского». Сканирование осуществляется автоматически в фоновом режиме раз в сутки. В случае обнаружения угрозы владельцу гаджета демонстрируется соответствующее уведомление. При желании интегрированный в RuStore антивирус можно отключить в настройках программы.

RuStore создан в качестве альтернативы Google Play Маркету, который ввёл ряд ограничений против российских пользователей и разработчиков Android-приложений. В настоящий момент в отечественном маркете представлены 5400 программных продуктов, рассортированных по 13 категориям — «Государственные», «Еда и напитки», «Здоровье и спорт», «Инструменты», «Медицина», «Новости», «Образование», «Объявления и услуги», «Покупки», «Развлечения», «Социальные», «Транспорт» и «Финансы». Имеется отдельный раздел с играми. Всего на платформе зарегистрированы 4000 издателей, в числе которых значатся как крупные игроки рынка ПО, так и индивидуальные разработчики.

По размеру аудитории RuStore является крупнейшим отечественным магазином приложений для платформы Android. По данным Mediascope, количество пользователей площадки составляет 10 миллионов человек старше 12 лет по всей России.

Samsung представила антивирусную программу Message Guard для смартфонов и планшетов Galaxy — она направлена на защиту от атак типа «zero-click», которые осуществляются без каких-либо действий со стороны владельца заражённого устройства.

Источник изображения: news.samsung.com

Атаки этого типа в последние годы производятся всё чаще. Самым ярким примером стал скандал со шпионской программой NSO Pegasus, которая эксплуатировала уязвимость в Apple iMessage. Программа продавалась правительственным ведомствам разных стран и использовалась для слежения за неугодными журналистами, политиками и активистами. Осуществляемые через такие уязвимости взломы почти не оставляют следов на устройстве, и жертва может не знать, что оно скомпрометировано. А сквозное шифрование только усложняет задачу по выявлению программы-шпиона.

Samsung утверждает, что Message Guard предотвращает такие атаки ещё до их начала. Когда на устройство приходит сообщение, содержащее файл формата PNG, JPG/JPEG, GIF, ICO, WEBP, BMP и WBMP, антивирус изолирует этот файл, сканирует его на предмет вредоносного кода и при необходимости нейтрализует угрозу. Message Guard дебютировал с телефонами серии Galaxy S23 и в ближайшее время появится на других устройствах с очередным обновлением One UI 5.1. Антивирус защищает приложения Samsung Messages и Google Сообщения — поддержка других будет добавлена позже. Message Guard не нужно активировать отдельно — он работает «тихо и почти незаметно в фоновом режиме», добавили в Samsung.

Интегрированный в операционную систему Windows бесплатный антивирус Microsoft Defender известен многим пользователям ещё со времён Windows XP. Решение пережило многочисленные изменения и сегодня активно используется. Тем не менее, по данным AV-Comparatives, данный продукт намного хуже справляется с защитой, если компьютер не подключен к Сети.

Источник изображения: Microsoft

AV-Comparatives занимается тестированием программного обеспечения, предназначенного для обеспечения компьютерной безопасности. Недавно проведённое исследование потребительского антивирусного ПО Malware Protection Test показало интересные результаты. Тест предусматривал тестирование основных антивирусных платформ на образцах вредоносного ПО, сбор логов и оценку эффективности защиты пользователей от цифровых угроз.

Источник изображения: AV-Comparatives

В список протестированных экспертами AV-Comparatives продуктов вошли хорошо известные бренды вроде Avira, AVG, Avast, Bitdefender, Kaspersky и многие другие. Встроенный в Windows защитник Microsoft Defender тоже участвовал в испытаниях, но оказался далеко не самым лучшим. Так, по данным AV-Comparatives, он занял третье с конца место по эффективности офлайн-распознавания вирусов (69,8 %), опередив Panda (52,8 %) и Trend Micro (41,1 %).

Важно, что при подключении к ресурсам глобальной сети и облачной инфраструктуре Defender продемонстрировал блестящие результаты, распознавая и защищая от 98,1 % и 99,99 % угроз соответственно — многие платные антивирусы показали себя хуже.

Источник изображения: AV-Comparatives

Известно, что недавно AV-Comparatives изменила технологию проверок, отдавая приоритет не только способности обнаружения угроз, но и уровню защиты. В частности, тесты теперь проверяют, может ли антивирусное программное обеспечение предотвратить вносимые вредоносным ПО изменения в систему.

По результатам тестирования с 10019 образцами вредоносного софта, Microsoft Defender сумел справиться со всеми угрозами кроме одной, но только будучи подключенным к облачным сервисам. 100 % уровень защиты показали Avast, AVG, G Data и McAfee, а Trend Micro не справился с 259 образцами.

Также AV-Comparatives выделила все антивирусы в четыре группы в зависимости от количества ложноположительных срабатываний каждой программы. Microsoft Defender отличается «множеством» подобных откликов (19), поэтому в данном тесте он достиг только уровня Advanced, хотя в предыдущих тестах достигал Advanced+.