Компания Malwarebytes работает над исправлением серьезных уязвимостей в своем антивирусном продукте. Ошибки обнаружилэксперт из команды Google Project Zero Тэвис Орманди.
Исследователю безопасности удалось выяснить, что обновления продукта Malwarebytes Antivirus не были подписаны с помощью цифровой подписи компании и загружались по незащищенному HTTP-соединению. Все это делает пользователей антивируса подверженным атаке типа Man-In-The-Middle — злоумышленники могли легко подменить пакеты обновлений,
Уязвимости были обнаружены в ноябре 2015 года. Однако сотрудникам Malwarebytes не хватило 90 дней для того, чтобы исправить дыры безопасности в своем продукте, поэтому исследователь Google Тэвис Орманди (Tavis Ormandy) опубликовал информацию о них в своем блоге.
По его словам, процесс обновления антивируса Malwarebytes включает загрузку YAML-файлов. Несмотря на то, что эти файлы содержат контрольную сумму MD5, их передача с помощью незащищенного HTTP-соединения позволяет атакующему легко осуществить подмену файлов.
Орманди предполагает, что разработчики антивируса были уверены в том, что злоумышленникам все равно не удастся перехватить данные, поскольку они зашифрованы с помощью зашитого в коде ключа RC4. Однако, удалось сделать это с помощью простой команды OpenSSL.
Также Орманди обнаружил некорректно составленные контрольные списки (ACL) антивируса — это позволяет осуществить повышение привилегий. По умолчанию, всем пользователям антивируса разрешается модифицировать и создавать файлы в директории, где хранится конфигурация Malwarebytes Antivirus. Это дает злоумышленникам возможность проведения атак, связанных с удаленным исполнением кода на машине жертвы.
Руководитель Malwarebytes Марчин Клещински (Marcin Kleczynski) подтвердил информацию об обнаружении уязвимостей и сообщил, что компания столкнулась со сложностями, которые не позволили исправить их в 90-дневный срок. По словам топ-менеджера, компания смогла исправить несколько из обнаруженных ошибок на стороне сервера и теперь занимается внутренним тестированием новой версии антивируса. Кроме того, Клещински заявил, что по его данным, с помощью обнаруженных Орманди уязвимостей злоумышленники не могут проводить массовые атаки на пользователей Malwerabytes Antivirus. У них есть возможность лишь «атаковать одну машину за один раз».
За последний год это уже не первый случай обнаружения серьезных уязвимостей в защитном программном обеспечении и атак на антивирусные компании. В июне 2015 года в СМИ попала информация о том, что британские и американские спецслужбы искалиуязвимости продуктах «Лаборатории Касперского». Примерно в то же время исследователи из Google Project Zero рассказали о серьезной уязвимости в антивирусе ESET NOD32, которая позволяла атакующему читать, модифицировать и удалять любые файлы на компьютерах, на которых установлен антивирус.
Летом того же года стало известно о том, что в продукте Symantec Endpoint Protection обнаружен целый ряд серьезных уязвимостей, которые позволяли атакующим осуществлять обход аутентификации, повышения привилегий, чтение и запись файлов, а также осуществления SQL-инъекций. Кроме того, практически одновременно с этим было объявлено о том, что антивирусная компания BitDefendet стала жертвой хакерской атаки, в результате которой были похищены пароли пользователей — особый резонанс вызвал тот факт, что они хранились в открытом виде.
Позднее осенью 2015 года серьезные ошибки безопасности были обнаружены в криптософте TrueCrypt, а еще спустя несколько месяцев, в декабре того же года критические уязвимости были также найдены в антивирусе Avast.
Кроме того, осенью прошлого года исследователь безопасности Мазин Ахмед опубликовал исследование, в ходе которого ему удалось обнаружить XSS-уязвимости сразу в нескольких популярных межсетевых экранах. Мы провелили самообучающийся межсетевой экран PT Application Firewall на подверженность описанным в работе обходам защиты — все представленные способы обхода были заблокированы экраном.
Российская индустрия кибербезопасности уже давно перестала быть просто «технической поддержкой для ИТ». Теперь это, по сути, полноценный экономический фактор. К такому выводу пришли фонд «Сайберус» и Институт экономики роста им. П. А. Столыпина в совместном исследовании о развитии отрасли за 2010–2025 годы.
Главная цифра звучит так: совокупный вклад российской индустрии кибербезопасности в экономику страны оценивается в диапазоне от 3,6 до 5,3 трлн рублей.
При этом сам рынок информационной безопасности в России в 2025 году авторы исследования оценивают в 374 млрд рублей. Иными словами, относительно небольшой по размеру рынок даёт для экономики эффект, который в разы его превышает.
По оценке авторов, экономический мультипликатор здесь достигает x12: каждый рубль, вложенный в кибербезопасность, способен приносить до двенадцати рублей эффекта для экономики.
Авторы исследования (PDF) подчёркивают, что за последние 15 лет российская ИБ-отрасль выросла в 23 раза — с 16,5 млрд до 374 млрд рублей. Отдельно отмечается и практическая польза для бизнеса: для крупных компаний один рубль, вложенный в кибербезопасность, может предотвращать до 3,5 рубля прямого ущерба. Только в 2024 году общий объём предотвращённого ущерба для российских организаций оценён в 0,4-1,1 трлн рублей.
Ещё один важный вывод касается импортозамещения. По оценке авторов, оно принесло отечественным ИБ-вендорам дополнительные 106 млрд рублей только в 2025 году, а к 2030 году этот эффект может превысить 200 млрд рублей.
В исследовании отдельно выделены три этапа развития российской отрасли: от сосуществования с зарубежными решениями в 2010-х до перехода к киберсуверенитету в 2022–2025 годах. Авторы утверждают, что сегодня в России уже сформирован 100% стек отечественных решений в ключевых категориях средств защиты информации, а сама индустрия стала одной из опор цифровой экономики.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
