Дайджест инцидентов в области информационной безопасности: 18 июля — 18 августа

Бизнес

Недельный простой Apple Developer Center

Около недели понадобилось Apple для того, чтобы восстановить работоспособность своего сервиса для разработчиков — Apple Developer Center. Этот ресурс прекратил работу 18 июля, и лишь спустя три дня Apple официально признала, что сайт, возможно, был взломан. Затем некий турецкий специалист по сетевой безопасности Ибрахим Балик объявил, что он является вероятной причиной отключения Developer Center: он обнаружил ряд серьёзных уязвимостей в рекламной системе Apple iAD Workbench, и с их помощью смог получить некоторые личные данные о 100 тысячах зарегистрированных пользователей сервисов Apple. О брешах он немедленно уведомил саму компанию, что, вероятно, и послужило поводом для недельного простоя Developer Center.

1

Самим разработчикам Apple разослала письмо, в котором сообщила, что полностью перестраивает архитектуру Developer Center.

Подробнее…

Закрыты форумы всех изданий

Крупный издательский холдинг Future Publishing закрыл ВСЕ свои форумы после обнаружения атаки, направленной на форумы издания PC Gamer.

«На прошлой неделе — 19 июля 2013 года — мы обнаружили, что форум PC Gamer на базе vBulletin стал объектом атаки. Атаку удалось блокировать немедленным закрытием форума, и с тех пор мы проводим тщательное расследование нанесённого ущерба и пытаемся разобраться, каким образом осуществлялась атака. Мы не видим никаких признаков утечки персональных данных пользователей PC Gamer. Однако мы считаем, что безопаснее всего будет держать форум закрытым, пока мы сполна не убедимся, что проблема в безопасности устранена. Информацию о развитии событий мы будем публиковать на сайте PC Gamer», — говорится в сообщении на странице-«заглушке».

2

Без тормозов

Незадолго до конференции Defcon двое специалистов по информационным технологиям (то есть попросту хакеров) — Чарли Миллер и Крис Валасек — продемонстрировали изданию Forbes трюк, с помощью которого у Ford Escape можно отключать тормоза — с помощью ноутбука, присоединённого к приборной доске автомобиля. Ford Escape, как и многие другие современные машины, напичкан компьютерами, а где есть компьютеры, там найдутся и уязвимости.

Миллеру и Валасеку удалось произвести обратную разработку ПО, используемого в бортовых системах Ford Focus и Toyota Prius, и обнаружили там массу неприятных сюрпризов, позволяющих учинить целый диапазон разных пакостей, от неконтролируемой подачи сигналов автомобильным рожком до упомянутого отключения тормозов и искажения показателей системы GPS, спидометра и одометра.

Подробнее…

Долой пароли?

В Сети запущена кампания против паролей. Привычный для подавляющего большинства пользователей Сети способ авторизации инициаторы кампании требуют (от IT-индустрии) «безопасную и удобную альтернативу». То есть, такую, чтобы ничего запоминать не пришлось.

3

Пароли — это действительно одно из самых слабых месте в информационной защите, притом что ключевое; чтобы проще было запомнить, пользователи часто используют какие-то простые комбинации, которые легко поддаются взлому — с понятными последствиями.

Альтернативы паролям, в принципе, существуют, но, как уже сказано, пароль — привычное для большинства средство, а то, что привычно, держится очень долго, даже при наличии альтернатив, обладающих массой преимуществ.

Подробнее…

Был бы повод

Рождение наследника британского трона, катастрофа в Испании, скорый выход очередной серии игры Plants vs. Zombies — всё это привело к резкой активизации авторов вредоносного ПО и спамеров, пытающихся эксплуатировать «общественный интерес». Как минимум в нескольких случаях отмечены попытки использовать недавно открытую китайцами Master Key-уязвимость в Android (баг #9695860). Спамеры и вирусописатели пытаются эксплуатировать любые информационные поводы, вызывающие массовый интерес.

Подробнее…

160 миллионов кредитных карт

В США предъявлены обвинения пятерым гражданам России и Украины, которые, согласно выводам следствия, осуществили вторжения в компьютерные сети ASDAQ, 7-Eleven, Carrefour, JCP, Hannaford, Heartland, Wet Seal, Commidea, Dexia, JetBlue, Dow Jones, Euronet, Emerging Markets Payments, Global Payment, Diners Singapore и Ingenicard. С помощью SQL-инжекций злоумышленники пытались проникнуть в базы данных пострадавших компаний, в случае успеха устанавливали бэкдоры и пытались проникнуть в сети компании. В общей сложности им удалось заполучить доступ к счетам, связанным со 160 млн кредитных карт, нанеся ущерб в сотни миллионов долларов. Три пострадавшие компании заявили сумму ущерба более 300 млн долларов.

Вдохновителями этих «операций» считаются 32-летний Владимир Дринкман (Сыктывкар, Москва) и 26-летний Александр Калинин (Санкт-Петербург).

Подробнее…

Разведка боем

Компания Praetorian объявила о запуске специального ресурса для системных администраторов, который позволяет осуществлять «аудиторскую» проверку (по существу, проверку на прочность) используемых в корпоративной сети паролей. Облачный сервис PWAudit.com пытается в автоматическом режиме вскрыть слабые пароли, используя для этого ряд разнообразных методик.

4

Подробнее…

Необходимо отметить, что у «Лаборатории Касперского» существует собственный продукт, позволяющий протестировать эффективность паролей и их устойчивость к брутфорс-атакам (в том числе, со стороны ботнетов) — Kaspersky Secure Password Checker.

BlackHat USA 2013

На BlackHat 2013 было прочитано множество прелюбопытных докладов о различных инцидентах, имевших место в этом году, а также о серьёзных уязвимостях, выявленных в последние месяцы.

5

Больше всего внимания привлекли доклады о критических уязвимостях Master Key в Android (описаны в наших публикациях на прошлой неделе — [1], [2]); о взломе SIM-карт (подробнее читайте здесь).

Описана также возможность взламывать операционную систему Apple iOS с помощью поддельных зарядных устройств; продемонстрирован способ формирования вредоносных ботнетов с помощью баннерных сетей и возможность осуществления атак на телевизоры Smart TV, чреватых утечками персональных данных (если владельцы хранят таковые на этих устройствах).

Двое экспертов по SCADA провели прямо в ходе своего выступления симуляцию атаки на контроллеры нефтяной станции, показав, что это может привести к экологической катастрофе. Никаких специальных брешей в безопасности искать не понадобилось: уязвим используемый для управления программируемыми логическими контроллерами протокол Modbus/TCP, разработанный ещё в 1970 годы. Никаких средств безопасности и авторизации в нём не предусмотрено.

Представители компании Trend Micro также рассказали об инциденте с известной хакерской группировкой APT1/Comment Crew, предположительно связанной с правительством Китая. В течение долгого времени эти хакеры пытались взломать отдельно взятое предприятие по водоснабжению в США. Среди прочего злоумышленники стремились похитить документацию и изменить настройки насосов.

В итоге, правда, оказалось, что вся эта водонапорная станция была глубоко продуманной западнёй, изготовленной специально для ловли хакеров «на живца». По словам представителя Trend Micro Кайла Уилхойта, хакеры «прекрасно знали, что они делают» — данное «виртуальное предприятие» не было случайной мишенью, хотя и распознать его виртуальную природу хакеры не смогли.

Список докладов на Black Hat USA 2013

Итоги Black Hat USA 2013

Молотом по Тору

В Ирландии по запросу правоохранительных органов США арестован Эрик Ойн Маркес, создатель хостинговой компании Freedom House и протокола зашифрованных соединений Tor. В США его обвиняют в распространении и пособничестве в распространении детской порнографии. Сразу же после этого появились сообщения о внедрении вредоносного JavaScript-кода на сайты, которые пользовались услугами данного хостинга. Осуществление атаки, деанонимизировавшей пострадавших, стало возможным благодаря уязвимости в Mozilla Firefox версии 17, на основе которой функционирует Tor Browser. Сама уязвимость была устранена ещё в июне.

Так или иначе, дальнейшая судьба Tor выглядит весьма туманной.

Подробнее…

Брутфорс на WordPress

Неизвестные злоумышленники организовали новое массированное нападение на сайты, функционирующие на базе CMS WordPress: крупный ботнет посредством брутфорса пытался вскрыть логины и пароли. В дальнейшем выяснилось, что атака осуществлялась также на такие движки, как Joomla и Datalife Engine, и что за этой «операцией» стоит ботнет Fort Disco, состоящий примерно из 25 тысяч заражённых машин. Это существенно затрудняло функционирование самих ресурсов, не говоря уже о том, какую угрозу подобные атаки, в случае их успешности, несут для компаний, чьи сайты функционируют на этих движках. Если администраторский пароль оказывается достаточно слабым, чтобы поддаться на брутфорс, злоумышленники получают под свой контроль весь ресурс и могут делать на нём всё, что заблагорассудится — красть чужие личные данные, менять настройки, встраивать вредоносный код и так далее.

Аналогичная ситуация уже наблюдалась в апреле этого года: объектом атаки также оказались сайты под управлением CMS WordPress.

Подробнее…

Десять шаек

На конференции DEFCON был зачитан доклад, в котором утверждается, что члены десяти киберкриминальных группировок из России являются основными поставщиками вредоносного мобильного ПО под Android, жертвами которого становятся жители России и Восточной Европы. Около 60% вредоносных программ под самую популярную в мире мобильную ОС пишут именно эти люди. Они же стоят за большей частью случаев мошенничества с использованием SMS-сообщений.

С самим докладом можно ознакомиться здесь.

Достаточно одного

Ещё один доклад с DEF CON, заслуживающий внимания, описывает, как уязвимость в Google Android может привести несанкционированному проникновению в корпоративную сеть через облачный сервис Google Apps. Проблема заключается в функции Android weblogin. Достаточно одного взломанного устройства с доступом к Google Apps.

Google уже давно получил уведомление о проблеме, так что есть надежда, что меры будут приняты своевременно.

Слайды к докладу доступны здесь.