Начнем выпуск с еще одной производственной новости: компания IBM намерена использовать суперкомпьютер Watson для решения задач в области информационной безопасности (новость, официальный пресс-релиз). Напомню, Watson — это, как говорится в официальных документах, программно-аппаратный комплекс (кластер из 90 серверов), способный отвечать на вопросы на естественном языке, или некая реализация искусственного интеллекта. В 2011 году Watson одержал победу над жалкими людишками многократными победителями в игре Jeopardy (у нас это «Своя игра»).
В IBM хотят научить Watson обрабатывать большой поток связанной с ИБ информации, так, чтобы суперкомпьютер мог «отличать вирусы от троянов». Для этого IBM будет сотрудничать с рядом американских университетов, студенты которых будут соответствующим образом готовить информацию для дальнейшей обработки. Данных получится много, речь идет о миллиардах записей. Впрочем, пока рано говорить о том, что искуственный интеллект и человекоподобные роботы защитят нас от всех киберугроз. Конечные цели в анонсе даны очень широкими мазками: «автоматизировать нахождение взаимосвязей между данными [об инцидентах], потенциальными угрозами и стратегиями защиты».
С одной стороны, тема машинного обучения, искусственного интеллекта и поиска аномалий в огромном потоке данных (например, в сетевом трафике) весьма перспективна, да собственно уже сейчас такие алгоритмы широко применяются: начиная от детектирования новых угроз на основе информации о предыдущих инцидентах и до выявления сложных, таргетированных атак. С другой, почти все в индустрии согласны, что абсолютно все автоматизировать не получится, даже если оснастить парой Ватсонов каждое крупное предуприятие. Доля «ручного труда», а точнее необходимость в высококлассных экспертах для расследования угроз, остается весьма высокой. Большую роль в безопасности играет человеческий фактор, а это совсем уж плохо алгоритмизируемая задача. Впрочем, IBM формулирует задачу корректно: «дать новые возможности экспертам по безопасности». Не заменить их. В этом ключевое отличие данной инициативы от иных попыток порекламироваться на теме машин лернинга, обещая, что «компьютер все поймет», и сам научится детектировать любые атаки. Не научится. Почему — объясню под катом.
Предыдущие выпуски сериала — тут.
Из всех недавних успехов в области искусственного интеллекта на слуху больше всего победы машин над людьми к интеллектуальных играх. Deep Blue против Каспарова в шахматах, Watson в «Своей игре», и, совсем недавно, победа суперкомпьютера в го. В марте, когда я был на конференции RSA, победа в го упоминалась чуть ли не в каждом втором выступлении. Процитирую президента RSA Амита Йорана по данной теме: AI — это круто, но не надо ожидать каких-то прорывов в этом направлении применительно к IT безопасности, основываясь на сегодняшних успехах.
Одно дело — победить пусть даже и в сложной «человеческой» игре, другое — иметь возможность предсказывать и предотвращать кибератаки. В первом случае ведется игра по правилам. Во втором — никаких правил нет. ИИ в ИБ помогает только в решении отдельных задач, и чем больше будет таких «обучаемых» технологий, тем больше времени будет у эксперта, чтобы заниматься другими проблемами — оценивать риски, предсказывать векторы атаки и предотвращать самые сложные инциденты. Заменить человека полностью пока не получается и вряд ли получится.
Опасные уязвимости в Windows и Adobe Flash уже используются для атак на пользователей и розничные сети
Новость про Microsoft. Новость про Adobe.
Уязвимость в Windows патчилась два раза: частично дыра, позволяющая выполнять произвольный код с системными привелегиями была закрыта в одном из апрельских пакетов заплаток, а окончательно — в свежем обновлении, выпущенном в этот вторник. Уязвимость затрагивает все актуальные версии Windows, от 7 до 10, и обнаружена была, увы, в ходе анализа серии успешных атак. Причем, киберпреступники прицельно искали компании и устройства, используемые для обработки платежей с кредитных карт. Кампанию в марте обнаружила компания FireEye: первоначальное проникновение в сеть жертвы проводилось традиционно, с помощью «подготовленного» документа Word, рассылаемого по e-mail. В общем, упомянутый мной ранее сезон атак на американские розничные сети продолжается: киберпреступники стараются успеть до введения платежей EMV (с чипом и пинкодом, как во всех нормальных странах), с которыми перехват данных кредиток значительно усложняется.
Критическая уязвимость в Adobe Flash то ли используется, то ли нет: в Adobe утверждают, что не видели атак, независимые источники опровергают. Учитывая потенциальную опасность уязвимости (эксплуатация может вызвать сбой приложения и получение контроля над системой), Adobe заранее предупредила о ее обнаружении 10 мая, а 12-го — выпустила кумулятивный патч.
Криптолокеры: взгляд со стороны жертвы
Статья на Threatpost.
Самая популярная публикация на Threatpost на этой неделе новостью не является, но показывает под неожиданным углом проблему троянов-вымогателей. Взглядом на проблему со стороны жертвы поделился IT-специалист компании, управляющей онлайновым казино, попросивший перед публикацией не называть имен. В компании работают около тысячи сотрудников. Несмотря на то, что такой бизнес весьма уязвим перед кибератаками, как это часто бывает, IT-безопасность не является самым главным приоритетом — других проблем хватает.
В материале приводится пример реальной атаки криптолокера на инфраструктуру компании. Точкой входа оказывается внешний консультант — специалист, работающий удаленно на ноутбуке, предоставленном компанией. По какой-то причине лаптоп оказывается ничем не защищен, зато имеет подключение к корпоративным сетевым папкам, как утверждается, из-за неправильной конфигурации (файловые шары примонтированы в папку Public пользовательского раздела, не самый лучший вариант). После попытки открыть вложение в письме, похожем на привычный инвойс, начинается шифрование данных. И здесь хорошо заметно, как медленно реагирует на эту проблему и пользователь, и специалисты по IT, в то время как реагировать надо быстро.
Владелец ноутбука полчаса дозванивается до поддержки, ему все еще кажется, что произошла какая-то техническая неисправность. Пока он объясняет, что происходит, шифрование данных продолжается, наконец он получает правильный совет: отключить ноутбук от сети, прямо сейчас. Тем временем успевают зашифроваться файлы на сервере и некоторых других компьютерах сотрудников, также криво подключенными к сетевым папкам. В общем, история типичная: атака через самое уязвимое звено, которым обычно оказывается подрядчик или фрилансер, шифрование данных на компьютере и на сетевых папках, быстрое распространение проблемы по сети. К счастью, в данном случае, важные данные не были потеряны и работа компании не была нарушена. Наконец, интересное частное наблюдение: если полгода назад админы компании фиксировали одну попытку атаки криптолокером в день, то теперь блокируют минимум три. Компания была атакована троянцем TeslaCrypt, о котором мы подробно писали в прошлом году.
Что еще произошло:
Еще одна уязвимость в системном ПО на ноутбуках Lenovo.
Интересный лонгрид о сложных взаимоотношениях американского ФБР и восточноевропейского киберкриминала в журнале Wired.
Криптолокер пытался атаковать американский конгресс.
Создателя анонимной платежной системы LibertyReserve посадили на 20 лет.
Древности:
«Something-658»
Резидентный очень опасный вирус, записывается в начало запускаемых COM-файлов. 11 числа ежемесячно стирает файл C:/AUTOEXEC.BAT, записывает в него команды DEL *.COM, DEL *.EXE, а затем создает файл SOME нулевой длины. Перехватывает int 21h. Содержит тексты: «Something v1.1», «some c:autoexec.bat del *.com del *.exe».
Цитата по книге «Компьютерные вирусы в MS-DOS» Евгения Касперского. 1992 год. Страницa 83.
Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.
Автор: «Лаборатория Касперского»