Рубрика «klsw» - 8

Security Week 15: Badlock не впечатлил, больше криптолокеров, еще одна уязвимость в iMessage - 1Предположим, что апокалипсиса не будет. Неверный подход к безопасности новых устройств и софта не приведет к массовому выходу компьютерных систем из строя: ПасьянсОфис не упадет, светофоры не погаснут, машины с автопилотом без проблем довезут людей до дома. Это не значит, что можно кодить безответственно: никто ведь не умрет? Потрясающую историю на прошлой неделе раскопала редактор издания Fusion Кашмир Хилл. В 2002 году компания MaxMind разрабатывала новый сервис, позволяющий примерно определить координаты сетевого адресата по IP. В процессе разработки понадобилось ввести дефолтные координаты. Дело не в том, что это требовалось клиентам. В статье этот момент не раскрывается, но вполне можно представить, что так решил один из разработчиков, потому что все так делают и удобно. Чтобы система не падала от пустой переменной и не происходило деление на ноль.

В константу забили округленные (38.0000,-97.0000) координаты географического центра США и в общем-то быстро забыли про этот рутинный эпизод. А к жителям дома рядом с городком Потвин в штате Канзас через некоторое время начали приходить странные люди. Приезжали скорые. Приходили агенты ФБР в форме и в штатском. Налоговики. Коллекторы. Звонили разъяренные владельцы сайтов, которым приходил спам, и требовали прекратить сейчас же. Кто-то даже угрожал, а на аллее возле дома ночью поставили разбитый унитаз. Пожилой владелице дома и арендаторам не повезло оказаться в округленном до градусов центре страны. Все адреса, координаты которых компании MaxMind не удалось определить, указывали на дом в Канзасе, всего более шести миллионов IP. Кашмир Хилл связалась с MaxMind, и там были очень удивлены. Компания ведь всегда говорила, что координаты дает примерные, и они не должны использоваться для идентификации конкретных адресов и домов. Проблема в том, что абсолютно все, вплоть до медиков и ФБР, именно так их используют.

Предположим, что апокалипсиса не будет. И очень хорошо, что так. Но технологии все больше влияют на нашу реальную жизнь, иногда самым непредсказуемым образом. Ошибки и уязвимости в софте и железе не всегда приводят к трагедиям (хотя иногда таки приводят). Безответственная разработка медленно и почти незаметно снижает качество нашей жизни. И чем дальше мы будем идти от точки «теперь питание компьютера можно отключить» к постоянному нахождению в сетевой среде, тем больше будет новых возможностей, но и проблем тоже.

Для московских IP, кстати, та же база дает координаты Кремля. А в географическом центре России никто не живет. Перейдем к новостям недели. Предыдущие выпуски тут.
Читать полностью »

Security Week 14: опасная уязвимость в Adobe Flash, WhatsApp включает шифрование, Пентагон платит за баги - 1История о споре между Apple и ФБР показала нам как политика может повлиять на технологии. На этой неделе все обсуждают обратный пример — тему об утечке данных из панамской юридической фирмы Mossack Fonseca. Не касаясь политической стороны этого события, не могу не отметить важный момент: резонансная история, скорее всего, началась с кибератаки и кражи данных. Об этом говорят в самой компании и есть косвенные доказательства того, что взломать инфраструктуру фирмы было не так уж сложно. В частности, внешний доступ к документам клиентов работал на версии Drupal трехлетней давности с минимум двумя критическими уязвимостями (впрочем, достаточно было одной этой).

Как на самом деле все произошло, мы вряд ли когда-нибудь узнаем. В индустрии ИБ вообще очень сложно учиться на чужих ошибках: делиться негативным опытом компании, по понятным причинам, не любят. Но общие выводы сделать можно, а именно:

— Не бывает неважных корпоративных данных. Не исключено, что в Mossack Fonseca даже не подозревали, какой резонанс могут вызвать хранящиеся у них документы. Это приводит к недооценке рисков и неадекватным затратам на защиту.
— Шифрование данных — это эффективная мера. Об этом говорит иная часть данной истории: десятки журналистов по всему миру анализировали полученные документы больше года, используя облачные системы и различные формы передачи данных в зашифрованном виде (начиная с VeraCrypt, форка TrueCrypt для шифрования жестких дисков). За это время не произошло ни одной утечки, несмотря на огромное количество участников проекта и отсутствие серьезных обязательств между ними.
— Объем утечки превышает 2,5 терабайта. Нужна система, которая поможет компаниям фиксировать такие события. Неважно по какой причине с серверов компании утекает огромный объем данных — специалист по безопасности должен об этом знать.

А теперь перейдем к традиционным новостям. Все выпуски дайджеста доступны по тегу.
Читать полностью »

Security Week 13: парад криптолокеров, ФБР взломала iPhone без помощи Apple, больше деталей о Badlock - 1Шестинедельная сага о противостоянии компании Apple и Федерального Бюро Расследований закончилась. 28 марта в ФБР официально заявили, что им удалось взломать iPhone 5c, принадлежавший террористу, без помощи производителя. От Apple больше не требуют изготовления инструмента для взлома данного телефона. История закончилась, пожалуй, самым выгодным и для вендора, и для потребителя способом, стоковый дядя с картинки не даст соврать. Но это вовсе не значит, что тема закрыта.

Если отвлечься от деталей, производитель смартфона и (в некотором роде) государство поспорили о том, кто обязан предоставлять доступ к защищенным данным пользователя, если это необходимо для расследования преступления. Пожалуй впервые в таком масштабе обсуждался вопрос: что делать госорганам, если защита в виде шифрования данных настолько хороша, что взломать ее без помощи производителя невозможно? В итоге выяснилось, что в ФБР поторопились — если очень нужно, найдутся и другие способы.

Но рано или поздно (скорее рано) этот вопрос снова будет поднят, в судебном разбирательстве или даже в рамках нового законодательства. Проблему придется решать, и это решение может серьезно повлиять на защищенность любых зашифрованных (не важно от кого!) данных, то есть затронет всех. Поэтому продолжаем наблюдение. Все выпуски дайджеста доступны по тегу.
Читать полностью »

Security Week 12: ФБР взломает айфон без помощи Apple, криптодыра в iMessage, шифровальщики в больнице - 1Прежде чем перейти к новостям, поговорим о физиках и лириках о маркетинге уязвимостей. Этот относительно новый термин родился пару лет назад, с появлением Heartbleed — первой уязвимости, получившей собственное имя, логотип и рекламный ролик. Нельзя сказать, что все восприняли такое нововведение позитивно: дескать компании или эксперты, обнаружившие дыру, вместо сурового технического языка используют язык рекламы, и таким образом наживаются на беде. Не могу с этим согласиться. Хотя определенный момент рекламы тут есть (а где его нет?), попытки объяснить простыми словами (или даже образами) сложные технические вещи, о которых важно знать и неспециалистам, должны только приветствоваться.

Данная тема получила свое развитие на этой неделе, когда появилась, нет, не информация об уязвимости, а анонс уязвимости. Специалисты компании SerNet, в команде которой есть разработчики протокола SMB, объявили о серьезной уязвимости в таковом. Затронута как Linux-реализация протокола Samba, так и собственно Windows. Но детали раскрывать не стали: информация будет раскрыта только 12 апреля. Почему сделали именно так? Авторы исследования считают, что так у потенциальных жертв атаки будет возможность подготовиться. Довольно спорное утверждение: критики данной идеи утверждают, что таким образом исследователи могли дать фору атакующим, если последние догадаются о характере уязвимости, хотя бы из названия минисайта (Badlock). Стоило ли так делать — узнаем через две недели, во всех файловых шарах интернета.

А теперь к новостям. Предыдущие выпуски дайджеста тут.
Читать полностью »

Security Week 11: трояны на iOS без джейлбрейка, утечка в American Express, кража учеток Steam - 1На этой неделе произошло следующее:
— Исследователи Palo Alto раскрыли довольно сложную с технической точки зрения, но действующую схему протаскивания вредоносных программ на айфоны и айпады без использования джейлбрейка. Хотя методу не суждено стать массовым, он еще раз показывает, что защита у Apple хороша, но если ее все-таки пробить, то дальше никаких проблем у злоумышленника не будет.
— У American Express украли данные через подрядчика. Детали компания не раскрывает, но судя по всему ушли и номера кредитных карт. Копилка с историями про взлом контрагентов уже переполнилась и скоро лопнет.
— Эксперты «Лаборатории» поделились информацией о методах кражи игровых аккаунтов, прежде всего в Steam. Несмотря на кажущуюся несерьезность данного направления, на перепродаже краденных «ништяков» зарабатывают большие деньги.
Предыдущие выпуски доступны по тегу. Бонус сегодняшнего выпуска — невероятные стоковые фото киберженщины с початком.
Читать полностью »

Security Week 10: вымогатель для OS X, обход пасскода iPhone, уязвимость в Facebook и польза bug bounty - 1В очередном выпуске нашего сериала:
— Хитрый вымогатель KeRanger для Mac OS X поразил всех не столько своими вредоносными свойствами, сколько четкой организацией атаки и необычным методом распространения. Но все закончилось хорошо — жертв не так много, как могло быть.
— В то время, как Apple и американские госорганы продолжают спорить о праве на взлом защиты айфона, выяснилось, что обойти пасскод можно и более тривиальными методами. Не первый раз, впрочем.
— Серьезная уязвимость в Facebook хорошо объясняет сложность инфраструктуры современной компании — тривиальный и крайне опасный метод взлома любого аккаунта соцсети был невозможен на основном сайте, но оказался доступен на стороннем проекте.

Предыдущие серии можно посмотреть по тегу.
Читать полностью »

Security Week 09: атака DROWN, HackingTeam возвращается, впечатления c RSA Conference 2016 - 1Сегодня в Сан-Франциско заканчивается одно из важных мероприятий в индустрии инфобезопасности — конференция RSA. Свои решения здесь представляют более 400 компаний. Здесь есть все: от точечных решений защите VPN и шифрованию до комплексных систем безопасности. Одной из ключевых тем конференции стала эволюция киберугроз и собственно развитие инфраструктуры, которую предполагается от них защищать. Среди знакомых, но по-прежнему актуальных тем — защита облачных систем (в любом понимании этого термина), а среди новых — защита Internet of Things, экосистемы, где мы скоро будем иметь дело с миллиардами устройств, маломощных по отдельности, но в совокупности дающих невиданную ныне вычислительную мощность.

Но IoT — это тема хоть и ближайшего, но будущего, а самой серьезной практической темой стала защита от таргетированных атак. Почему это важно? Речь идет о целевых атаках на конкретные компании. Если традиционное вредоносное ПО «бьет по площадям», то здесь мы говорим о попытках взломать заранее выбранную жертву. А значит в таких атаках разведка и использование уникальных особенностей инфраструктуры не менее важны, чем собственно инструменты атаки. Последние могут быть уникальными для каждой конкретной жертвы, что хорошо показано на примере кампании Poseidon.

Есть тысячи способов взлома одной той же компании. Выявить и закрыть все потенциально уязвимые точки невозможно. Но делать что-то надо, и тут каждый производитель предлагает свои способы. Общий момент: требуется собирать и обрабатывать огромный массив информации и выявлять подозрительную активность, отличную от нормальной сетевой деятельности сотрудников. Мы в «Лаборатории» показали на конференции свое решение — Kaspersky Anti Targeted Attack Platform — подробнее о нем можно почитать тут. Новые угрозы тем временем появляются без перерывов и выходных, и ключевое событие этой недели — атака DROWN. О ней поговорим поподробнее. Все выпуски дайджеста доступны по тегу.
Читать полностью »

Security Week 08: кража мышей через свисток, операция «Блокбастер», Linux Mint с бэкдором - 1Помимо обозначенных в заголовке новостей недели, продолжает развиваться история с противостоянием Apple и ФБР, или более точно — борьба между вендорами и государством на поле законодательства. Более подробно я об этом написал в предыдущем дайджесте, в комментариях к которому было замечено одно показательное сомнение в важности данной темы. Дескать, какая разница, заставят Apple написать бэкдор к своему же устройству или не заставят — все равно ЦРУ (АНБ, другие комбинации из трех букв) сломает и так, без суда.

Может ли ЦРУ (АНБ, итд) взламывать айфоны или не может — мы не знаем, и достоверно не узнаем никогда. Но суть конфликта заключается в том, что Apple пытаются заставить «сломать» собственный смартфон самостоятельно. Компания же сопротивляется, выступая (не прямым текстом, конечно) за разделение труда: задача Apple максимально защитить персональные данные своих клиентов (от кого угодно), задача спецслужб — сделать так, чтобы защита не мешала расследованию преступлений. Об этом говорится в поданном вчера ходатайстве Apple — там юридическим языком оформлены ранее публично высказанные претензии. Самое важное: по мнению Apple ФБР просит слишком много. Типичное действие суда — потребовать у компании дать то, что у нее уже есть (данные из iCloud, логи, исходные коды софта). Но в данном случае от Apple требуют создать что-то новое — инструмент для взлома телефона, которого раньше у компании не было. В Apple назвали такой бэкдор GovtOS (или ГосОсь, если хотите).

Определилась ситуация и с возможными последствиями для индустрии. С одной стороны, если Apple заставят сделать бэкдор, это создаст прецедент для других подобных запросов, и не только в США. Как выяснилось, уже сейчас на рассмотрении находятся запросы по минимум десяти устройствам Apple, где суд требует от Apple сломать свою же защиту. С другой стороны, независимо от результата судебных баталий, данный кейс может заставить Apple решить проблему с помощью технологий, а именно — изменить софт и железо будущих устройств так, что у производителя в принципе не будет возможности добыть пользовательские данные. Вообще никак. В New York Times пишут, ссылаясь на анонимные источники, что работа уже начата.

А теперь к другим новостям. Все выпуски дайджеста — тут.
Читать полностью »

Security Week 07: Apple против ФБР, глобальная уязвимость в glibc, криптолокеры и медицина - 1Неделя с лишним рабочим днем выдалась насыщенной и сбалансированной. События вокруг спора между Apple и американскими госорганами в лице ФБР и Минюста продолжают развиваться, но уже сейчас ясно, что они серьезно повлияют на развитие индустрии безопасности в части защиты личной информации. В отличие от этой чисто политической истории, критическая уязвимость в библиотеке glibc представляет собой новость абсолютно техническую, но, прямо или косвенно, тоже затрагивает всех.

Хочется сказать, что на этой неделе активизировался спор за возможность влиять на развитие технологий: между, так сказать, технарями и гуманитариямиполитиками. Первые руководствуются возможностью реализовать ту или иную функциональность в софте и железе, вторые — необходимостью договариваться с различными заинтересованными сторонами. На самом деле спорят не об этом. Технологии всегда развиваются независимо от того, согласны ли с этим окружающие или нет. Выводя свой спор с ФБР в общественное пространство, Apple борется за то, чтобы оставаться в авангарде этого самого технического развития. Иными словами, если Apple проиграет, и реальная (а то и воображаемая!) защищенность устройств компании каким-то образом пострадает, это не значит, что за всеми нами обязательно будет следить большой брат. Это значит, что условный вымпел с надписью «самый безопасный смартфон» перехватит какая-то другая компания.

Впрочем, это только гипотеза. Не исключено, что пока мы все бурно обсуждаем взлом зашифрованных данных, кто-то где-то копает очередную критическую дыру в очередной glibc, и когда докопает — все остальное по теме безопасности станет вообще неактуально. Рассмотрим оба случая подробнее. Все выпуски дайджеста доступны по тегу.
Читать полностью »

Security Week 06: банковский грабеж на потоке, взлом энергосетей, Посейдон-Амебей-Кианохет - 1Три самых популярных новости этой недели приплыли к нам с теплых (+20) Канарских островов, где 8 и 9 февраля прошла ежегодная конференция экспертов по безопасности Security Analyst Summit, организованная «Лабораторией Касперского». Как и в прошлом году, #TheSAS2016 оказался богат на большие расследования, ставшие результатом многомесячной работы экспертов. Такие расследования дают несколько больше понимания о том, в какую сторону эволюционирует ландшафт угроз, чем важные, но все же разрозненные «рутинные» новости об уязвимостях, взломах и прочем. Что изменилось? Три ключевых презентации на Саммите в прошлом году были посвящены атакам класса APT — сложным кибер-операциям, с использованием самых современных и дорогих в разработке инструментов, направленных на максимально длительное присутствие в системе жертвы. Подробнее о них — здесь.

В этом году активность threat actors, скорее всего спонсируемых государством, также активно обсуждалась, но ключевые исследования были больше про таргетированные атаки на бизнес. Отличие важное. Дорогие операции а-ля The Equation воспринимаются как нечто очень опасное, но непосредственно «рядовым» компаниям не угрожающее. А даже если бизнес и становится предметом интереса организаторов атаки — то, вроде как, ничего и не поделаешь — против лома нет приема (на самом деле приемы есть). Исследования этого года больше касаются business as usual — атак на компании с использованием стандартных инструментов (никаких модифицированных прошивок для жестких дисков), со смекалкой и активной предварительной разведкой. В таких случаях обычно не используется продвинутое кибероружие, но есть ущерб, потеря репутации и полный набор других неприятных последствий для бизнеса.

И еще. Методы атаки и вредоносное ПО, которые квалифицируются по высшему кибер-разряду, очень быстро становятся рутинным инструментом, доступным все большему количеству криминальных групп. Посмотрим на исследования в деталях. Все выпуски дайджеста — тут.
Читать полностью »


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js