30 июня 2014

Подкаст: новости безопасности в июне

Новости

В последний день первого летнего месяца мы традиционно подводим итоги в нашем регулярном подкасте. Новостей много, но мы решили обсудить самые, на наш взгляд, интересные: новый Android, шпионские программы для iPhone, год «Сноуденгейту», Gameover ZeuS и десятилетие вируса Cabir.

Подкаст: новости безопасности в июне

На этот раз мы решили не только записать подкаст…

…но и сделать его текстовую версию, на тот случай, если вам не хочется слушать, а хочется читать:

Шпионские программы для iPhone

Во многих странах правоохранительные органы и спецслужбы способны проникать в компьютер подозреваемого или его смартфон для «мониторинга» или сбора доказательств. Чтобы сделать это, спецслужбы используют так называемые легальные шпионские программы, и есть целые международные компании, официально разрабатывающие и продающие такие приложения. Одна из таких компаний, итальянская фирма HackingTeam, разрабатывает «систему удаленного контроля» (Remote Control System, RCS), также известную как Galileo. «Лаборатория Касперского» уже два года наблюдает за частью инфраструктуры RCS и встречала «импланты», то есть вредоносные программы для Windows и Mac OS производства этой фирмы. Во вредоносных файлах было много намеков на то, что существуют и «импланты» для смартфонов, но у нас не было возможности получить их образцы. Во время недавнего исследования, проведенного в партнерстве с Морганом Марк-Буаре (Morgan Marquis-Boire) из Citizen Lab, были обнаружены новые варианты вредоносных программ. Это по сути троянские программы для смартфонов, которые работают как на Android, так и на iOS.

Одно из основных открытий, сделанных при исследовании RCS, — это метод, который используется для заражения iPhone. Сначала компьютер жертвы заражается вредоносным приложением для Windows или Mac OS. Схема заражения каждый раз отличается, в нее могут входить социальная инженерия, эксплойты и фишинг. Троянец скрытно работает на компьютере, выполняет обычную шпионскую работу вроде кейлоггинга и ждет, пока жертва подключит свой смартфон для синхронизации с iTunes. Если оператор, заведующий слежкой через троянца, одобрит эту операцию, то троянец пытается скрытно взломать подключенный iPhone с помощью джейлбрейка, а затем установить на него шпионские компоненты. На этом этапе iPhone перезагружается, и это единственный видимый признак произошедшего.

Мобильные троянцы RCS способны на все виды шпионажа, которых можно ожидать от такого инструмента, включая отслеживание местоположения, съемку встроенной камерой смартфона, чтение SMS и переписки в WhatsApp и подобных мессенджерах, кражу адресной книги и т.п.

Защититься несложно: установить последнюю версию iOS, поскольку она защищена от джейлбрейка, а значит, исключает возможность имплантации в смартфон шпионского ПО.

Google I/O

Главным событием ушедшей недели стала, разумеется, презентация новой версии операционной системы Google — Android L. Помимо технических и визуальных нововведений ОС получила некоторые обновления по части безопасности. В частности, процесс разблокировки экрана теперь может быть завязан на специфическую информацию: место нахождения пользователя и тембр его голоса. Кроме того, своеобразным «паролем» могут служить часы на базе Android: если владелец устройства носит их на запястье, то при разблокировке смартфона вовсе не потребуется ничего вводить. Претерпела изменения и система доставки обновлений безопасности: теперь они будут распространяться через магазин Google Play. Но интереснее всего другое: вероятная интеграция в Android платформы Samsung KNOX, которая позволяет создать на устройстве своего рода неприкосновенную закрытую экосистему, защищая таким образом особо важные пользовательские данные. Каким именно образом Google встроит ее в свою ОС, впрочем, пока остается только гадать. Также не совсем понятна судьба kill switch — функции, которая позволяет дистанционно превращать смартфон в «кирпич», делая таким образом его кражу бессмысленной. Известно, что эта функция уже присутствует в коде предыдущих версий Android, но воспользоваться ею проблематично. Есть мнение, что ситуация изменится с выходом Android L. Посмотрим, посмотрим.

Год появления Сноудена

Ровно год назад, в июне 2013 года, наш мир перестал быть прежним и изменился навсегда. А все благодаря секретным документам, которыми решил поделиться бывший сотрудник NSA (Национального агентства безопасности) Эдвард Сноуден. Конечно, слухи о массовой слежке и прослушке активно ходили и до его появления, но молодой сотрудник спецслужб раз и навсегда расставил все точки над i и рассказал миру о реальных возможностях и действиях правительства США. Что же изменилось за год? Да, Интернет стал в некотором смысле безопаснее, а люди — осторожнее, но в целом кардинальных изменений не произошло: люди в массе своей оказались не настолько сильно озабочены правительственной слежкой, чтобы заметно изменить свою жизнь и поведение в Сети. Большинство интернет-пользователей все так же делятся личной информацией с миром посредством соцсетей, защищают свои данные ненадежными паролями и в целом озабочены глобальной слежкой не больше, чем раньше.

День рождения Cabir

В самом начале недели мы отметили десятилетие зловреда под названием Cabir (в девичестве Caribe), который оказался первым в истории червем для смартфонов. Значительного вреда эта штука не приносила, но заметно сажала батарею, так как с момента активации на телефоне использовала встроенный модуль Bluetooth, работа которого и высасывала из аккумулятора весь заряд буквально за пару часов. Несмотря на полуручной метод распространения (пользователь должен был фактически дать согласие на принятие и установку файла с вирусом), Cabir умудрился поселиться на многих тысячах смартфонов, а в некоторых случаях даже вызывал локальные «эпидемии». В общем, интересный был зверек. О том, где его обнаружила «Лаборатория Касперского», как изучала и почему ради этого пришлось строить железную комнату, читайте кратко в нашем блоге и более развернуто на Хабре. Там очень много интересного.

ZeuS — gameover или нет?

Совместными усилиями американских и европейских правоохранительных органов была проведена спецоперация по изъятию командных серверов ботнета Gameover ZeuS — сети зараженных троянцем компьютеров, работающих вместе на благо злоумышленников. В данном случае это «благо» заключалось в активном распространении вредоноса ZeuS, который в свою очередь находит на компьютере жертвы персональную информацию (особенно финансовую), зачастую дающую возможность преступникам переводить на свои счета деньги со счетов пользователей. Более того, ботнет Gameover с недавних пор вовсю рассылает печально известный зловред-вымогатель CryptoLocker, о котором мы уже не раз писали. Правда, перехват находившихся в Канаде, Казахстане и на Украине командных серверов — это лишь первый этап по предотвращению деятельности ботнета. Теперь правоохранители будут внимательно изучать поступающий трафик, отслеживать IP-адреса зараженных машин и передавать эту информацию провайдерам и при необходимости представителям властей, дабы те приняли меры по предупреждению дальнейшего распространения заразы. На данный момент ботнет находится в ослабленном состоянии и переведен его владельцами в P2P-режим, так что борьба с «Зевсом» еще только начинается. Следите за новостями в нашем блоге! И если вы подхватили эту заразу, воспользуйтесь нашим средством лечения: http://support.kaspersky.ru/viruses/disinfection/5350.