Прежде чем перейти к новостям, поговорим о физиках и лириках о маркетинге уязвимостей. Этот относительно новый термин родился пару лет назад, с появлением Heartbleed — первой уязвимости, получившей собственное имя, логотип и рекламный ролик. Нельзя сказать, что все восприняли такое нововведение позитивно: дескать компании или эксперты, обнаружившие дыру, вместо сурового технического языка используют язык рекламы, и таким образом наживаются на беде. Не могу с этим согласиться. Хотя определенный момент рекламы тут есть (а где его нет?), попытки объяснить простыми словами (или даже образами) сложные технические вещи, о которых важно знать и неспециалистам, должны только приветствоваться.
Данная тема получила свое развитие на этой неделе, когда появилась, нет, не информация об уязвимости, а анонс уязвимости. Специалисты компании SerNet, в команде которой есть разработчики протокола SMB, объявили о серьезной уязвимости в таковом. Затронута как Linux-реализация протокола Samba, так и собственно Windows. Но детали раскрывать не стали: информация будет раскрыта только 12 апреля. Почему сделали именно так? Авторы исследования считают, что так у потенциальных жертв атаки будет возможность подготовиться. Довольно спорное утверждение: критики данной идеи утверждают, что таким образом исследователи могли дать фору атакующим, если последние догадаются о характере уязвимости, хотя бы из названия минисайта (Badlock). Стоило ли так делать — узнаем через две недели, во всех файловых шарах интернета.
А теперь к новостям. Предыдущие выпуски дайджеста тут.
ФБР попросила отложить судебные прения с Apple и попробует взломать iPhone без помощи производителя
Новость.
В понедельник Apple представляла новые устройства, и в самом начале мероприятия глава компании Тим Кук поговорил о требованиях ФБР помочь со взломом iPhone 5c, принадлежавшего террористу (краткое содержание предыдущих серий — в этом дайджесте). Предвосхищая запланирование на следующий день после презентации судебное заседание, Кук дал понять, что отступать или сдаваться компания не собирается. И не пришлось. ФБР попопросила перенести слушания в связи с тем, что появилась возможность решить проблему (то есть разблокировать или другим образом получить информацию с айфона) без помощи производителя.
В общем-то среди специалистов довольно популярно мнение, что ФБР могла бы вытащить данные из телефона самостоятельно, а требования к Apple — это попытка ослабить криптозащиту телефонов в целом. Как бы то ни было, до пятого апреля новостей с фронта борьбы Apple с ФБР не ожидается — именно к этому сроку следователи должны понять, работает ли «альтернативный» метод. Что за метод? Непонятно. Есть конспиративная версия, что ФБР решила помочь АНБ и подкинуло из запасников какой-то эксплойт для уязвимости в телефоне. Два дня назад, как обычно со ссылкой на неназванные источники, агентство Reuters написало, что взломом займется израильская компания Cellebrite. Достаточно старый iPhone 5c находится в списке устройств, «поддерживаемых» компанией. Новых iPhone 6s там кстати нет. И это такой милый нюанс всей этой истории: помимо всего прочего она дает много информации по выбору телефона и его настройке для тех, кто всерьез озабочен защитой своей информации. Перечислим основные: только самый свежий айфон (не реклама), длинный пин-код, а лучше символьный пароль на разблокировку, неиспользование iCloud.
iOS 9.3 закрывает серьезную брешь в криптозащите iMessage
Новость. Исследование.
Представленная в понедельник новая версия яблочной операционной системы для мобильных устройств добавляет специальный «ночной» режим для быстрого засыпания, но это не самое важное обновление. Самым важным стал патч для уязвимости в системе обмена сообщениями iMessage, которая многим пользователям ай-девайсов заменила традиционные SMS. Данные, передаваемые через систему, шифруются, но, как выяснили исследователи из Университета Джона Хопкинса, защита недостаточно хороша. В результате, при выполнении ряда условий, атакующий может получить историю переписки жертвы.
Механизм шифрования сообщений в iMessage. Исследование стало возможно, в том числе, потому, что Apple публично рассказывает о методах шифрования, что позволяет независимым исследователям анализировать их надежность.
Условия достаточно строгие: нужно либо организовать (сложный) вариант атаки man-in-the-middle, против которого Apple приняла некоторые меры, либо получить прямой доступ к серверам Apple, например (привет новости выше) по судебному запросу. Один из методов использует механизм передачи через iMessage вложенных файлов — они в зашифрованном виде сохраняются на сервере Apple, а получателю присылается особый URL. Используя эту особенность, атакующий может попытаться реконструировать ключ, последовательно отправляя на устройство жертвы слегка модифицированные URL для загрузки вложений.
Сделать это необходимо примерно 130 тысяч раз, но так как устройство жертвы не реагирует на такие запросы, атака теоретически возможна. Как обычно, исследование представляет собой сложнейший матан, а методы атаки включают регистрацию доменов, похожих на icloud.com (и не один, а много), использование особенностей сжатия файлов и многое другое. Главное — атакующий не сможет получить доступ к данным на смартфоне, но сможет посмотреть историю сообщений, которая хранится на сервере до 30 дней. Или не сможет — зависит от того, обновили ли вы устройство до последний версии iOS.
Еще одна американская больница стала жертвой вымогателя-шифровальщика
Новость.
Совсем недавно мы писали о том, как троян-вымогатель атаковал голливудскую больницу. В том случае, из-за угрозы потери важных данных, организация заплатила приличный выкуп — 17 тысяч долларов. На этой неделе аналогичная проблема возникла у госпиталя в штате Кентукки. Как сообщается в анализе эксперта по безопасности Брайана Кребса, метод атаки не блистал оригинальностью. Сотруднику больницы пришел спам с зараженным вложением. Заражение с одного компьютера распространилось по всей сети, очевидно, через общие папки. В результате на сайте больницы появилось сообщение об «экстренной ситуации в связи с заражением компьютерным вирусом».
Вирус, точнее троян, называется Locky и использует уже подзабытый способ заражения компьютера с помощью вредоносных макросов в офисных документах. В отличие от предыдущей атаки на больницу, сотрудники госпиталя в Кентукки платить выкуп не стали, хотя запрашиваемая сумма была меньше — 4 биткоина или 1600 долларов. Детали заражения позволяют наметить и направление защиты. И речь здесь идет не только о проактивной блокировке вредоносной программы с помощью защитного решения. Неплохо было бы сделать так, чтобы а) сотрудник не открывал спам с подозрительным вложением и б) даже в случае заражения троян не распространялся стремительно по сети без всякого сопротивления. Первое достигается с помощью тренингов по безопасности, второе — с помощью грамотной организации доступа к общим документам.
Что еще произошло:
Интересная новость не из мира безопасности. Исследовательское подразделение Microsoft Research два дня назад запустило чат-бота по имени Tay. С помощью некоей системы искусственного интеллекта Tay могла общаться с пользователями в твиттере (публично или с помощью прямых сообщений), постепенно обучаясь в ходе такого общения. Через два дня робота пришлось выключить, так как (кто бы мог подумать!) пользователи сети научили робота плохому. Microsoft сделала официальное заявление, в котором сослалась на некую «координированную попытку некорректного использования возможности Tay комментировать сообщения». В переводе на нормальный язык это звучит примерно так: «Это интернет, детка, и ты была к нему не готова». Комментаторы истории наперебой сожалеют о том, что интернет полон ненависти, считая, что вины робота тут нет.
Не соглашусь. Насколько я оцениваю эту историю, исследователи Microsoft действительно наделили робота возможностью воспринимать неструктурированный поток информации и осмысленно реагировать на него. Это действительно здорово. А чтобы подобные провалы не происходили, искуственный интеллект должен отличать «хорошее от плохого». А это такая очень относительная штука, по сути мы говорим о наделении робота собственной позицией по широкому спектру вопросов. В общем, возвращаясь к теме безопасности, не верьте, если кто-то продает вам чудо-защиту, состоящую только из «интеллектуальных алгоритмов». Работать не будет по той же причине: в безопасности нужно не только понимать, что происходит, но и уметь оценивать события правильно.
Древности:
Семейство «Taiwan»
Семейство нерезидентных очень опасных вирусов. Обходят подкаталоги и записываются в начало .COM-файлов. При заражении файлов блокируют клавиатуру (видимо, действие направленное против резидентных антивирусных мониторов). Если ни один .COM-файл не найден, то вирусы «Taiwan» могут стерерь часть секторов текущего диска и после этого сообщают: «Greetings from National Central University. Is today sunny?».
Помимо этой содержат строку "*.com".
Цитата по книге «Компьютерные вирусы в MS-DOS» Евгения Касперского. 1992 год. Страницa 47.
Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.
Автор: «Лаборатория Касперского»