27 мая 2016

Security Week 21: отказ от паролей, жизнь древних уязвимостей, вирус в сетевом оборудовании

Безопасность Новости Угрозы
Security Week 21: отказ от паролей, жизнь древних уязвимостей, вирус в сетевом оборудовании

Авторизацию по паролю планируют окончательно похоронить. Не в первый раз, впрочем. Полтора года назад похороны начал Twitter, предложив вход через одноразовые коды на мобильный. Примерно такой же метод закапывания паролей частично применил Telegram, но, кажется, ничего хорошего из этого не вышло. Теперь пароли хоронит Google, и делает это инновационно, с огоньком, идентифицируя пользователя по «скорости набора символов, семплу голоса, расположению, манере ходьбы, чертам лица».

Читал эту новость и не мог избавиться от чувства дежавю. Где-то это уже было… А!

Tyrell: Is this to be an empathy test? Capillary dilation of the so-called blush response? Fluctuation of the pupil. Involuntary dilation of the iris…
Deckard: We call it Voight-Kampff for short.

А-а-а-а! В фильме и книге люди тестами выявляли роботов, а тут роботы будут отличать людей друг от друга. Но принцип тот же! Будущее наступило. Билли, где моя электрическая овца? Светлое будущее, кажется, окончательно лишит нас прямого контроля над собственными устройствами, как уже лишило контроля над данными. Сейчас продолжим, а пока напоминаю, что все выпуски дайджеста — тут.

Итак, в общих чертах проект Abacus был анонсирован Google на прошлогодней конференции Google I/O, а в этом году на таком же мероприятии объявили, что технология будет доступна для пользователей уже в конце года. Abacus основан на изучении упомянутых выше повадок (включаю голос Дроздова) пользователя для выставления некоего Trust Score. Как только поведение пользователя меняется, Trust Score резко падает, и в определенный момент устройство блокируется. Trust Score, кстати, планируется хранить непосредственно на устройстве, на серверы Google он передаваться не будет. Похожую позицию касательно сбора биометрических данных занимает Apple.

Надо ли вообще хоронить пароли? Пожалуй, да, уже пора. Все прошлая неделя практически полностью состояла из новостей про утечки паролей, пользователи по-прежнему защищают свои данные надежными комбинациями а-ля 123321, а компании регулярно эти пароли теряют. Менеджерами паролей пользуется не так много людей, как хотелось бы.

Время пришло. Вообще пароли можно назвать представителями компьютерного олдскула: это такой же пережиток прошлого, как, например, полное доверие между компьютерами внутри одной локальной сети. Можно пойти еще дальше и отнести пароли к уходящей эпохе старого подхода к программированию электронных вычислительных машин.

Security Week 21: отказ от паролей, жизнь древних уязвимостей, вирус в сетевом оборудовании

Недавно в Wired была опубликована статья как раз об этом. Программирование, как мы сейчас его понимаем, все целиком будет объявлено низкоуровневым, а кодеры будущего скорее займутся тренировкой своих самообучаемых машин с последующей репликацией результатов. Ну как с собаками. Можете называть это пришиванием белыми нитками, но я вижу явную связь между развитием темы машинного обучения и подходом Google к безопасности.

У меня нет сомнений насчет перспективности проекта Abacus, но мы же в реальном мире живем, да? Поначалу все, что только можно, пойдет не так. Сомнения одного из комментаторов к новости на Threatpost вполне оправданны: а что, если мое поведение поменяется в силу каких-то внешних причин и меня ни за что отключат от моего же смартфона? Почему вообще компьютер должен решать такие вещи за меня?

Шутка про алкогольный детектор в телефоне, который блокирует исходящие и чатик, кажется, перестает быть шуткой. Дивный новый мир! Радует лишь то, что престиж тех, кто реально разбирается в подноготной всех этих умных систем, будет только расти. Одновременно со сложностью самих систем, конечно.

Прошлогодняя уязвимость в Microsoft Office используется минимум шестью группировками для таргетированных атак

Новость. Исследование.

Эксперты «Лаборатории» опубликовали довольно необычное исследование, посвященное использованию серьезной уязвимости в Microsoft Office. Необычность заключается в том, что уязвимость была обнаружена и закрыта еще в сентябре прошлого года, и в быстро меняющемся ландшафте угроз это эквивалентно прошлому веку: обнаружили, запатчили, предусмотрели защиту, поехали дальше. Увы, на этапе накатывания патчей возникают проблемы. Во всех деталях показано, что уязвимых систем огромное количество, причем в инфраструктуре структур, крайне уязвимых перед таргетированными атаками.

Уязвимость, закрытая апдейтом MS15-099, затрагивает версии Office с 2007 по 2013 и позволяет выполнить произвольный код, если заставить пользователя открыть подготовленное изображение в формате EPS.

Летом прошлого года ситуация с этой дырой пошла по плохому сценарию: реальные атаки были обнаружены еще в августе, до выпуска патча. Как видно, и патч не сильно помог. В числе жертв — множество компаний и госструктур в Азии. Эксплойт использовался минимум шестью разными группировками, из них четыре действуют и поныне. Как обычно, все начинается с весьма правдоподобного фишингового письма.

Security Week 21: отказ от паролей, жизнь древних уязвимостей, вирус в сетевом оборудовании

Письмо отправляется анонимно через open relay почтовый сервер, от «нужного» адресата с подготовленным аттачем. В другой атаке используется корпоративный сервер, то есть атака ведется уже с завоеванного плацдарма в инфраструктуре жертвы. Параллельно обнаруживаются связи между различными атаками. Например, одна из выявленных группировок, похоже, делит инфраструктуру с кампанией Adwind, нацеленной на финансовые организации в Сингапуре.

Непропатченный Microsoft Office очень часто становится входными воротами для таргетированных атак, а с недавнего времени его стали использовать бьющие по площадям авторы криптолокеров (вот тут есть интересная новость про очередной хитрый метод заражения через макросы). Вывод из всего этого простой: не надо давать атакующим шанс использовать хотя бы известные и закрытые уязвимости. Патчить — хорошо.

Вирус атакует сетевые устройства Ubiquiti

Новость.

Еще одна новость про пользу патчей. Исследователи из фирмы Immunity обнаружили довольно странный вирус, поражающий сетевые устройства Ubiquiti (например, модели airMAX M, airMAX AC, ToughSwitch, airGateway и airFiber). Функциональность у него соответствует скорее примерам из «Древностей», чем современным зловредам: используя уязвимость в проприетарной AirOS, он стирает конфиги и заменяет пользовательские юзернеймы матерными словами. Понятно, что даже такие действия наносят ощутимый ущерб компаниям-владельцам, но последствия взлома сетевых маршрутизаторов и точек доступа могут быть гораздо страшнее.

Проблема в том, что уязвимость затрагивает версии AirOS 5.6.2 и более ранние и вообще-то была закрыта год назад. Не все смогли за это время обновить прошивки своих устройств. Почему я не удивлен? Пожалуй, из всех потенциально уязвимых точек инфраструктуры сетевые устройства представляют наибольшую опасность в случае взлома: это, по сути, ключи от огороженного периметра. Представители вендора, впрочем, утверждают, что атакованных устройств было немного, и предоставляют пострадавшим утилиту для приведения сетевой аппаратуры в чувство.

Что еще произошло:

TeslaCrypt — всё. Авторы одного из наиболее заметных криптолокеров извинились и опубликовали мастер-ключ для расшифровки данных.

История со взломом финансовой сети SWIFT продолжается. Помимо центробанка Бангладеш пострадала финансовая организация в Эквадоре. Представители SWIFT в свою очередь перестали делать вид, что их это не касается, и начали делиться информацией об атаках, хотя и в закрытом виде.

Обнаруженная совсем недавно уязвимость нулевого дня в Adobe Flash уже взята на вооружение тремя эксплойт-паками.

Security Week 20: случайные числа, уязвимость в 7-Zip, Microsoft выключает WiFi Sense

Древности:

Семейство «Amz»

Нерезидентные очень опасные вирусы, инфицируют .COM- и .EXE-файлы (либо только EXE — «Amz-600») при старте зараженного файла. Изменяют первые 13h байт COM-файлов на программу перехода на тело вируса. Содержат короткое слово: «AMZ». В зависимости от версии стирают сектора FAT либо всех логических дисков от A: до Z: (если таковые присутствуют), либо текущего диска при условиях:

«Amz-600» — если номер дня недели совпадает с номером дня месяца;
«Amz-789» — 24 сентября с 0.00 до 7.00 утра;
«Amz-801» — 13 февраля в 13 часов.

Цитата по книге «Компьютерные вирусы в MS-DOS» Евгения Касперского. 1992 год. Страницa 23.

Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.