18 сентября 2015

От Bugzilla с эксплойтами, или Тяжкие последствия повторного использования пароля

Бизнес

В начале месяца Threatpost опубликовал историю с поистине детективным сюжетом о злоумышленнике, который сумел скомпрометировать Bugzilla — систему баг-трекинга Mozilla — и украсть данные об ошибках, которые, в конце концов, превратились в эксплойт. Преступник скомпрометировал учетную запись привилегированного пользователя с помощью пароля, добытого вследствие утечки данных на отдельном сайте. В общем, это случай повального краха в кибербезопасности, который аукнулся крупномасштабными последствиями.

Целенаправленное нападение

И они на самом деле имеют большой масштаб: по-видимому, злоумышленник смог украсть определенную информацию об узявимости в Firefox, которую Mozilla устранила в прошлом месяце, но только уже после того, как эксплойт для неё появился в сети.

bugzillaКак написал на Threatpost Деннис Фишер, злоумышленник, должно быть, знал, кого атаковал: мишенью был привилегированный пользователь, имевший ограниченный доступ к конфиденциальной информации об изъянах безопасности продуктов Mozilla. Bugzilla — система, которая используется Mozilla для различных проектов, и, несмотря на то, что большая часть информации публична, данные о недостатках безопасности не разглашаются. По крайней мере, до тех пор, пока не станет доступен патч, или компания сама не решит не исправлять баг.

Похоже, что злоумышленник был достаточно настойчив. Возможно, он имел доступ к аккаунту жертвы с сентября 2013 года. Самый ранний из подтвержденных входов был осуществлен в сентябре 2014 года. Mozilla закрыла скомпрометированный аккаунт вскоре после обнаружения взлома, но служащие компании были вынуждены сообщить (с сожалением), что преступник получил доступ к 185 разным багам, в том числе к 53 серьёзным уязвимостям. Хорошей новостью является то, что 43 из этих 53 багов были уже устранены к тому времени, когда до них добрался злоумышленник.

Но остальные 10 всё ещё были пригодны для эксплуатации.

Цедя эксплойты

Довольно забавно (и прискорбно) то, как Mozilla узнала об ошибке. Пользователь был скомпрометирован с её помощью при посещении русского новостного сайта, который крутил рекламу со встроенным кодом эксплойта. Стоит отметить, что пострадавший новостной сайт на самом деле работает на английском языке (он относится к базирующейся в Москве ежедневной англоязычной газете), а это означает, что угроза не ограничивается русскоязычной веб-аудиторией.

Эксплойт искал конфиденциальные файлы на компьютере жертвы, а затем загружал их на сервер, который, по словам сотрудников Mozilla, оказался украинским.

Версия Firefox от 27 августа исправила все уязвимости, о которых стало известно злоумышленнику, подведя черту под событиями последних двух лет.

wide

Никто не любит пароли

Как было сказано выше, всё началось с пароля, который использовался более одного раза и стал известен злоумышленнику (злоумышленникам) в результате ещё ранее случившейся утечки данных.

Использование уникальных паролей для всех учетных записей является одной из азбучных истин кибербезопасности, но, в то же время, это тяжкое бремя для конечных пользователей, которые вынуждены заучивать десятки различных комбинаций. Неудивительно, что многие, как правило, стремятся упростить себе жизнь: по данным опроса, проведённого «Лабораторией Касперского» и B2B International, только 26% пользователей во всём мире создают отдельный пароль для каждой учетной записи, а 6% респондентов используют специальное программное обеспечение для хранения паролей.

Пароли сами по себе по-прежнему являются основным методом авторизации в интернете – и главной приманкой для преступников. В 2014 году, по данным Kaspersky Security Network, продукты «Лаборатории Касперского» защитили 3,5 миллиона человек от вредоносных атак, которые были способны украсть логины и пароли к различного типа аккаунтам. 14% респондентов из 23 стран также сообщили, что их аккаунты взламывали в течение последнего года.

Давно уже звучат призывы к замене паролей чем-то более передовым и менее подверженным всяким оплошностям (как, например, использование одних и тех же комбинаций для нескольких ресурсов), но маловероятно, что пароли в ближайшее время сможет что-то потеснить.

Тем не менее, есть способы, чтобы сделать их надёжнее. Двухфакторная авторизация в начале сервисной цепочки всерьёз осложняет преступникам использование краденых паролей. А на стороне клиента помогает программное обеспечение для управления паролями.

Собственный менеджер паролей «Лаборатории Касперского» интегрирован в целый ряд наших потребительских и корпоративных продуктов. Например, мы ранее рассказывали об управлении паролями в Kaspersky Small Office Security, решении, разработанном специально для малого бизнеса.

Kaspersky Password Manager позволяет «заменить» все пароли одной комбинацией — единственным мастер-паролем, который пользователю придётся запоминать. Затем программа генерирует уникальные надёжные пароли для всех веб-сайтов, посещаемых пользователями, и хранит их в зашифрованном виде.

Файл с хранящимися паролями можно при необходимости скопировать на флэш-диск.

Менеджер паролей также доступен в качестве отдельного инструмента для PC, Mac, iOS и Android. При необходимости можно синхронизировать все пароли для нескольких устройств. Более подробная информация доступна здесь.