Security Week 09: атака DROWN, Hacking Team возвращается, впечатления с RSA Conference 2016

В этом выпуске Константин Гончаров делится впечатлениями от выставки RSA 2016, рассказывает о проблемах в шифровании TLS и о новых похождениях HackingTeam

Security Week 09: атака DROWN, HackingTeam возвращается, впечатления c RSA Conference 2016

Security Week 09: атака DROWN, HackingTeam возвращается, впечатления c RSA Conference 2016Сегодня в Сан-Франциско заканчивается одно из важных мероприятий в индустрии инфобезопасности — конференция RSA. Свои решения здесь представляют более 400 компаний. Здесь есть все: от точечных решений для защиты VPN и шифрования до комплексных систем безопасности. Одной из ключевых тем конференции стала эволюция киберугроз и собственно развитие инфраструктуры, которую предполагается от них защищать.

Среди знакомых, но по-прежнему актуальных тем — защита облачных систем (в любом понимании этого термина), а среди новых — защита Internet of Things, экосистемы, где мы скоро будем иметь дело с миллиардами устройств, маломощных по отдельности, но в совокупности дающих невиданную доселе вычислительную мощность.

И все же IoT — это тема хоть и ближайшего, но будущего, а самой серьезной практической темой стала защита от таргетированных атак. Почему это важно? Речь идет о целевых атаках на конкретные компании. Если традиционное вредоносное ПО «бьет по площадям», то здесь мы говорим о попытках взломать заранее выбранную жертву. А значит, в таких атаках разведка и использование уникальных особенностей инфраструктуры не менее важны, чем собственно инструменты атаки. Последние могут быть уникальными для каждой конкретной жертвы, что хорошо показано на примере кампании Poseidon.

Есть тысячи способов взлома одной и той же компании — выявить и закрыть все потенциально уязвимые точки невозможно. Но делать что-то надо, и тут каждый производитель предлагает свои способы. Общий момент: требуется собирать и обрабатывать огромный массив информации и выявлять подозрительную активность, отличную от нормальной сетевой деятельности сотрудников.

Мы в «Лаборатории» показали на конференции свое решение — Kaspersky Anti Targeted Attack Platform, подробнее о нем можно почитать тут. Новые угрозы тем временем появляются без перерывов и выходных, и ключевое событие этой недели — атака DROWN. О ней поговорим подробнее. Все выпуски дайджеста доступны по тегу.

Атака DROWN: до трети защищенных соединений HTTPS могут быть расшифрованы в случае перехвата

Новость. Исследование.

Помните новость об исследовании про коллизии в SHA-1? В прошлом году алгоритм хеширования SHA-1 был признан теоретически уязвимым, и это стало достаточным поводом для того, чтобы производители браузеров начали массово отказываться от его поддержки.

Старт всему этому дала научная работа, причем не подразумевающая какую-то реальную угрозу для ваших данных здесь и сейчас. Когда-нибудь в будущем — возможно. Так вот, атака DROWN показывает нам (для другой темы, но также связанной с шифрованием), как теория превращается в практику. И временной лаг между первым и вторым — очень приличный.

Суть уязвимости вот в чем. Для зашифрованных соединений сейчас повсеместно используется протокол TLS, пришедший на смену аналогичным протоколам SSLv3 и SSLv2, довольно уязвимым по нынешним стандартам. Когда вы подключаетесь к веб-сайту по протоколу HTTPS, внутри работает как раз этот самый TLS. С ним пока проблем нет, но есть нюанс.

Довольно много серверов в Cети поддерживают устаревший протокол SSLv2. Ну поддерживают — и ладно, если кому-то придет в голову использовать его для установки соединения (в стандартном браузере у вас не получится такое сделать неумышленно), то так ему и надо. Но тут выяснилось, что, используя эту самую поддержку SSLv2, можно расшифровать и нормально зашифрованный с помощью TLS трафик.

Security Week 09: атака DROWN, HackingTeam возвращается, впечатления c RSA Conference 2016

Атака, если сильно не вдаваться в детали, производится следующим образом. Злоумышленник перехватывает защищенный трафик жертвы. Затем делает серию запросов к серверу с использованием SSLv2 таким образом, что сервер отдает ему данные, достаточные для расшифровки трафика TLS.

В двух различных сценариях атак расшифровка занимает время, но совсем немного — либо несколько часов на мощном сервере (или $440 аренды процессорных мощностей на Amazon), либо вообще за минуту на мощном ПК. Во втором случае «помогает» поддерживаемая довольно большим количеством серверов «экспортная», то есть заведомо ослабленная, криптография. То есть требований к злоумышленнику немного: небольшие вычислительные мощности, прямые руки и возможность перехвата чужого трафика. Это действительно опасная штука.

И снова пришла беда, откуда не звали. Расшифрованный трафик может выдать данные, необходимые для взлома корпоративной сети, и предусмотреть такие угрозы заранее совершенно невозможно — какой бы крутой ни была защита вашего периметра, всегда найдется самый хитрый взломщик. Поэтому индустрия и старается максимально ускорить выявление успешных атак, когда проникновение уже произошло, но ущерб еще не нанесен.

При чем тут история? Исследователи, открывшие уязвимость, ссылаются на работу некоего Дэниеля Бляйхенбахера (Daniel Bleichenbacher), в 1998 году нашедшего похожую проблему в другой системе шифрования. И тогда это была совершенно теоретическая работа, так как речь шла (и сейчас идет) о десятках тысяч подключений к серверу, необходимых для проведения атаки. На тот момент это казалось нереальным, а сейчас вполне возможно. Именно так научные исследования превращаются в суровые будни безопасника, пусть и 18 лет спустя.

Hacking Team возвращается с новыми эксплойтами

Исследование «Лаборатории».

Взлом Hacking Team — большое событие 2015 года. Из компании, печально знаменитой своей работой на госструктуры и поставляющей им инструменты для «законного» взлома компьютерных систем, тогда утекло много информации, причем очень опасной, включая несколько уязвимостей нулевого дня. Учитывая специфику работы Hacking Team, компании даже никто особо не посочувствовал, но организаторы данного сомнительного с этической точки зрения бизнеса сдаваться не собирались.

И вот недавно обнаружился новый вредоносный модуль, предназначенный для заражения и кражи данных с компьютеров под управлением Mac OS X. Впервые бэкдор был описан исследователями компании Objective-See, а наши специалисты дали больше информации о его реальной функциональности. Конкретно вредоносная программа может делать скриншоты, красть информацию из системы и приложений, записывать жертву с помощью веб-камеры и микрофона, определять расположение ПК и даже красть сообщения SMS с телефона, если он подключается к зараженному компьютеру.

Security Week 09: атака DROWN, HackingTeam возвращается, впечатления c RSA Conference 2016

Мы, как и многие другие вендоры, детектируем и блокируем этот модуль. Не важно, для каких целей используется вредоносное ПО, оно от этого менее вредоносным не становится.

Что еще произошло:

Еще одно важное обсуждение на RSA Conference: практически все игроки рынка согласны с тем, что взлом в ответ на взлом — это очень плохая идея. Как на уровне отдельных компаний (могут случайно отомстить не тем, кто атаковал), так и на уровне государств и спецслужб.

Продолжается битва между Apple и ФБР. Дело дошло до слушаний в Конгрессе, да и на RSA Conference тема поднималась в каждом втором докладе. Эксперты практически единодушно выступают на стороне Apple (свою поддержку, например, официально высказал представитель Microsoft). Оппоненты разве что отмечают, что ФБР выбрало безукоризненный кейс, чтобы атаковать не только Apple, но и подход «технарей» к шифрованию в целом.

В автомобилях с кибербезопасностью все обстоит не очень хорошо. Мы и не сомневались.

Security Week 05: непростые числа в Socat, Virtustotal проверяет BIOS на закладки, тайная жизнь Wi-Fi модулей

Древности:

«Nina-1600»

Резидентный очень опасный вирус, поражает .COM-, .EXE- и .SYS-файлы, которые ищет в текущем каталоге при каждом вызове int 21h. .COM- и .EXE-файлы инфицирует стандартно. При заражении .SYS-файлов дописывает свое тело в конец файла и модифицирует программы Interrupt и Strategy заражаемого драйвера.

Активизируется только при отсутствии антивирусных блокировщиков. При попытке пройти коды вируса отладчиком уничтожает часть данных на диске. Содержит тексты: «Dear Nina, you make me write this virus; Happy new year!», «*:COMMAND.COM».

Цитата по книге «Компьютерные вирусы в MS-DOS» Евгения Касперского. 1992 год. Страница 41.

Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.

Советы