26 марта 2014

Дайджест инцидентов безопасности: 20.02-20.03

Бизнес

Apple в опале

В конце февраля исследователи выявили пару серьёзных проблем в операционных системах Apple iOS и Mac OS X.

С обновлением iOS до версии 7.06 была исправлена проблема с процедурой, которой iOS выполняет проверку сертификата при установке защищенного соединения. Защищённый протокол не был способен определить аутентичность соединения. То есть, проще говоря, злоумышленник, находящийся в одной сети с вами, мог в теории перехватывать и модифицировать данные сессий, защищенных криптографическими протоколами SSL/TLS. И если вы воспользовались какой-нибудь публичной беспроводной сетью (например, в аэропорту или кафе) для доступа в онлайновый банкинг, Gmail или даже Facebook, находящийся в той же сети злоумышленник при определенной сноровке может «прослушать» отсылаемую с устройства информацию. Браузер Safari при этом утверждает, что сессия зашифрована и, стало быть, защищена.

apples

Оказалось, что та же уязвимость характерна и для Mac OS X. Патч для неё тоже выпустили довольно быстро. Причиной самого бага, как оказалось, была банальная ошибка программиста: продублировалась одна строчка кода.

За исправлением одной серьёзной уязвимости последовало обнаружение другой, ненамного менее серьёзной. Критический баг позволял некоторым приложениям отслеживать и записывать взаимодействия пользователя с сенсорным экраном и кнопками смартфона. Этот баг особенно неприятен тем, что уязвимость можно эксплуатировать как при помощи специально созданного для этого приложения, так и посредством уже установленных приложений, причем без необходимости производить джейлбрейкинг аппарата.

Две уязвимости за короткий срок — это приличных размеров камень, чтобы не сказать, метеорит в огород тем, кто всё ещё считает операционные системы Apple полностью защищёнными от информационных угроз. Системным администраторам в компаниях, в которых принята парадигма BYOD, следует обращать пристальное внимание и на продукцию Apple, пусть даже большинство угроз пока приходится на другие платформы.

Остаётся добавить, что в середине марта было объявлено, что в обновлении iOS 7.1 были исправлены уже целых двадцать уязвимостей. Выводы напрашиваются сами собой.

100 Гб/c неизвестности

Общий ландшафт угроз меняется на глазах: мы всё чаще видим, как атакам подвергаются неожиданные, казалось бы, объекты, и как ломаются представления о том, что защищено, а что нет.

Калифорнийский хостер Namecheap подвергся мощнейшей DDoS-атаке, на пике превышавшей 100 Гб/c. В Namecheap заявили, что это «новый тип атаки», с которым до сих пор компании сталкиваться не доводилось.

Namecheap — крупная компания, с более чем 800 тысячами клиентов из многих стран мира. Её DNS-инфраструктура охватывает сразу три континента, и DDoS для нее — привычное явление. Но в этот раз им «пришлось туго», по собственному признанию. Опять же, речь идёт о каком-то «новом» типе атаки.

Представители Namecheap не стали распространяться на тему того, был ли это действительно ранее неизвестный тип атак, или это Namecheap ещё не приходилось сталкиваться с чем-то подобным.

В последнее время много приходится слышать о DDoS-атаках, использующих уязвимые серверы NTP для усиления мусорного трафика. По данным Prolexic, крупнейшего специалиста по защите от DDoS, за последний месяц количество мощных атак с использованием NTP-посредников увеличилось на 371,43%.

Интенсивность подобной атаки может достигать значительно более высоких показателей, чем у той, с которой пришлось бороться Namecheap.

К сожалению, обилие NTP-серверов с уязвимостью, позволяющей их использовать в качестве DDoS-инструмента, заставляет по-новому оценивать угрозу DDoS-атак в целом. Namecheap собирается «усовершенствовать и значительно расширить DNS-инфраструктуру, а также нарастить возможности по поглощению и блокировке враждебного трафика», даже притом, что на сей раз удалось отбить атаку за несколько часов.

Смогут ли компании-хостеры с менее масштабной и мощной инфраструктурой справиться с такой проблемой?

Чёрный радиовход

«Конспирологический» скандал разгорелся в середине марта вокруг устройств Samsung Galaxy, в операционной системе которых (Android) обнаружился бэкдор, обеспечивающий потенциальному злоумышленнику «удаленный контроль по воздуху». Его можно использовать для получения доступа к файловой системе телефона и превращения устройств в шпионские инструменты.

Разработчики из проекта Replicant (ОС Android на базе Cyanogen) обнаружили бэкдор в Galaxy Nexus S, S, S2, Note, Nexus, 7- и 10,1-дюймовых Tab 2 и Note 2.

Технически проблема лежит в программе Android Radio Interface Layer (RIL), которая исполняется на коммуникационном процессоре, управляющем связью с модемом. Попросту говоря, эта программа позволяет модему выполнять удаленные операции ввода-вывода файлов, в том числе чтение, запись и удаление файлов во флеш-памяти телефона.

Как этот бэкдор попал в операционную систему и откуда, совершенно непонятно; есть вероятность, что он использовался разработчиками для каких-то совершенно легитимных целей (слишком уж явно называются команды — IPC_RFS_READ_FILE, IPC_RFS_WRITE_FILE и т.д.), а потом его просто забыли убрать. Но следует учесть, что это не первый случай, когда в устройствах Samsung находят странные баги, позволяющие, в том числе, незаметно для пользователя считывать данные и менять настройки. Всё это может означать, что само присутствие в корпоративной сети перечисленных устройств может представлять угрозу для конфиденциальных данных, если системные администраторы не наладили надлежащим образом защитные механизмы, такие как разграничение прав доступа к данным для разных устройств и пользователей.

Гончий троянский конь

Англо-российская автогоночная команда Marussia F1 Team («Маруся») столкнулась с несколько неожиданной проблемой — троянцем в компьютерных системах, что значительно помешало всей команде в подготовке к очередным гонкам.

Как и гражданский автотранспорт, современные гоночные машины напичканы электроникой. Для того чтобы эффективно мониторить все бортовые системы и управлять ими, команды используют целые датацентры в миниатюре.

И вот в такую систему попал троян. Команда потратила почти целый день на выкорчёвывание его, потеряв драгоценное время: за четыре дня испытательных заездов в Бахрейне болид Marussia смог сделать только 29 кругов, меньше всех остальных команд.

В данном случае, конечно, троянец атаковал не бортовые системы самого автомобиля, а внешние системы мониторинга.

marussia_team

Однако безопасность бортовых систем автомобилей (в первую очередь, гражданских) вызывает у специалистов вопросы и обеспокоенность не первый год.

В прошлом году двое экспертов показали, как можно выводить из строя тормоза и другие системы «умной» машины Ford Escape. И хотя для этого требовалось физическое подключение к автомобильной системе (подсоединили ноутбук), ещё раньше, в 2010 году другие исследователи продемонстрировали возможность удалённого исполнения кода в бортовой системе автомобиля через беспроводную сеть.

Большинство случаев хакинга бортовых систем приходится на академические опыты, проводившиеся экспертами различных организаций и университетов. В частности, представители Университета Южной Каролины и Университета Ратгерса продемонстрировали, как можно взломать систему мониторинга давления в покрышках. В свою очередь, эксперты из Университета штата Вашингтон и Университета Сан-Диего написали программу, которая позволяла (при прямом подключении к бортовым компьютерам) отключать тормоза и блокировать двигатель.

Но был и, по меньшей мере, один случай злонамеренных действий, когда бывший работник центра продажи автомобилей в Остине, штат Техас, получил контроль над сетевой системой удалённой блокировки автомобилей (работника уволили, а пароль обнулить забыли), и в результате более чем у ста водителей машины либо не заводились, либо непрерывно сигналили.

То есть уже накопилось достаточно свидетельств тому, что автомобильные системы могут быть уязвимы для внешнего воздействия. Насколько серьёзными могут быть последствия успешного хакинга, представить не так сложно.

По Linux беглым — огонь!

Эксперты компании ESET в середине марта объявили, что им удалось выявить крупномасштабную вредоносную кампанию, в рамках которой злоумышленники взламывали серверы под управлением Linux, FreeBSD и других Unix-образных операционных систем. Получившийся таким образом ботнет использовался для рассылок спама — до 35 млн. сообщений в день.

Злоумышленники, стоящие за «операцией Виндиго» (Operation Windigo), смогли за два года заразить вредоносным ПО более 25 тысяч серверов. 10 тысяч до сих пор находятся под их контролем. В распоряжении хакеров также находятся 700 скомпрометированных веб-серверов, которые регулярно используются для кражи SSH-данных и перенаправляют до 500 тысяч человек ежедневно на сайты с вредоносным содержимым.

Действовали, судя по всему, матёрые профессионалы, отлично знающие особенности операционных систем и очень эффективно маскировавшие следы своей деятельности. Скрытностью отличался и кроссплатформенный вредоносный код, который они создали: он почти не оставляет следов на жёстком диске, так что выявить его очень трудно. Удалить его из системы начисто тоже очень и очень сложно. Технические подробности доступны здесь.

Почему атаковали именно серверы под Linux? Злоумышленники, очевидно, исходили из серии вполне справедливых предположений. Во-первых, как раз в серверной области Linux пользуется большой популярностью, во-вторых, серверы – это, по определению, значительные вычислительные мощности и, что важнее, высокая пропускная способность каналов, а в-третьих, есть же репутация защищённой операционной системы. Как видим, техническая подготовка злоумышленников оказалась достаточной, чтобы воспользоваться слабыми местами серверного ПО, скрытно поставить под контроль большое количество серверов и зарабатывать на этом, по-видимому, довольно приличные деньги.

И если это удалось им, то не факт, что не удастся и кому-то ещё и даже с большим успехом.

Заключение

Вряд ли будет ошибочно говорить, что общий ландшафт угроз меняется на глазах: мы всё чаще видим, как атакам подвергаются неожиданные, казалось бы, объекты, и как ломаются представления о том, что защищено, а что нет. С начала года выявлены множественные уязвимости в разработках Apple; к счастью, без реальных случаев эксплуатации таковых (во всяком случае, информации о таких инцидентах нет). Зато весьма эффективным атакам подверглись серверы под Linux и разновидностями BSD, которые также считались (и считаются до сих пор) «хакероупругими».

Мы также видим всё возрастающую популярность «нового» типа DDoS-атак с использованием NTP-усиления. Метод сам по себе не нов, однако в моду у злоумышленников он вошёл лишь недавно, и результаты весьма неутешительны для реальных и потенциальных жертв.

Ключевая рекомендация для бизнеса в этой связи — «держать нос по ветру», быть постоянно в курсе новых веяний в сфере информационных угроз. Если до недавнего времени в противостоянии «киберпреступники против вендоров защитных средств» были, грубо говоря, две стороны, то сегодня бизнес (в первую очередь, владельцы и пользователи сетевой инфраструктуры) вынужден становиться активным участником этого противостояния. Это необходимо уже хотя бы потому, что, к примеру, использование уязвимого серверного ПО, на которое не установлены нужные патчи, представляет риск уже не только для жертвы взлома.