Security Week 16: взлом мыши с 225 метров, детектор криптолокеров в Mac OS X, миллион долларов за взлом iPhone

В этом выпуске Константин Гончаров рассказывает о детекторе троянов-шифровальщиков для Mac OS X, атаках через мышь на расстоянии 225 метров и миллионе долларов, потраченном на одну узявимость

Security Week 16: взлом мыши с 225 метров, детектор криптолокеров в Mac OS X, миллион долларов за взлом iPhone

Самое заметное изменение в новостном фоне по теме инфобезопасности по сравнению, скажем, с осенью прошлого года — это бурные дебаты вокруг и около шифрования данных. Начавшись с теоретических изысканий о потенциальных уязвимостях, например, в SHA-1, тема приобрела сугубо практический окрас по мере развития диспута между Apple и ФБР, с переходом мессенджера WhatsApp на полное шифрование данных и с повышением внимания к проблеме криптолокеров (хотя, казалось бы, при чем здесь они?).

Криптолокеры здесь, может, и действительно ни при чем, но не могу не отметить иронию положения: в одном случае прогрессивная часть общества ратует за полное шифрование данных, в другом — испытывает немалую боль от того, что данные зашифровались без спроса и, как правило, очень надежно. Шифрование — не панацея, если все остальное ломается без труда. Только комплексная защита информации, только хардкор.

Вот и на этой неделе ФБР прозрачно намекнуло, во сколько обошелся взлом того самого iPhone 5c, про который был суд с Apple. Больше $1 миллиона, предположительно за zero-day-уязвимость, которая позволила обойти защиту устройства.

Напомню, в сентябре прошлого года сумму такого же порядка обещала заплатить за уязвимость компания Zerodium. И вроде грустно как-то: защищай, не защищай — все равно взломают толстосумы. Но гарантировать 100-процентную безопасность данных в принципе невозможно, и по сути любая защита пытается лишь сделать взлом неоправданно дорогим. Так что в контексте истории про iPhone это хорошая новость: сломать стоит дорого.

Другие компании тоже не собираются отдавать пользовательские данные задешево. По крайней мере, когда им самим это не приносит прибыли, одни репутационные издержки. Внедрить полное шифрование всех коммуникаций на этой неделе пообещал Viber, они утверждают, что смогут видеть только факт коммуникации между двумя абонентами (то есть метаданные), но не содержимое.

И только BlackBerry продолжает защищать произвольный доступ к личной переписке по запросу органов. Никто особо не против, но подход BlackBerry, в свое время бывшей пионером защищенных мобильных коммуникаций, кажется, устарел.

Далее: особенности взлома компьютеров через мышь на расстоянии и как сделать детектор криптолокеров, который то ли работает, то ли нет. Предыдущие выпуски тут.

Взлом компьютера через беспроводную мышь: исследователи увеличили дальность атаки до 225 метров

Новость.

Бойцы невидимого фронта из компании Bastille Networks продолжают исследовать уязвимость, через которую пока никто никого не взломал и не собирается. Эта история началась в феврале: именно тогда исследователи показали, как с помощью противоестественного использования мыши для набора букв и уязвимостей в системе авторизации можно взломать любой компьютер на любой операционной системе.

Достаточно авторизоваться (через дыру) на USB-приемнике как мышь, без подтверждения пользователя, и начать отправлять на компьютер символы — как клавиатура. Не надо внедрять в систему вредоносный код, достаточно его прямо в системе написать и выполнить.

Security Week 16: взлом мыши с 225 метров, детектор криптолокеров в Mac OS X, миллион долларов за взлом iPhone

Круто, конечно. Спустя два месяца исследователи улучшили свой результат по дальности: использовав копеечное оборудование (не более $50 за все), они увеличили дальность работы с USB-приемником до 225 метров с изначальных 100. Вроде как угроза стала в два с лишним раза опаснее, тогда почему «никто не взломал»?

Ну, если честно, может, мы просто об этом не знаем: поди пойми, что произошло в такой ситуации. USB-приемники (речь не идет о Bluetooth) — это такая вещь в себе, черный ящик размером с разъем. К нам в 2016 год приехала страшилка из ближайшего будущего, когда таких свистков в виде датчиков, контроллеров и прочего будет пруд пруди, они будут отвечать за наше электричество, воду и коррекцию сердечного ритма, но останутся при этом черными ящиками. Точнее, хочется, чтобы было как-то не так, а лучше и прозрачнее.

Для массовой киберпреступности подобный метод остается сложным. Предположу, что и для устроителей таргетированных атак этот метод из разряда экзотики. Пока работают приемы попроще, какой смысл устраивать беготню с антеннами? Беда в том, что многим владельцам беспроводных мышей остается либо поменять модель, либо терпеливо ждать, когда уязвимостью воспользуются. Многие USB-приемники не лечатся в принципе. Впрочем, к Logitech, изначально единственной компании, закрывшей уязвимость, недавно присоединилась Microsoft. И вопрос на засыпку: это вот мы благодаря исследователям об этой проблеме узнали, а сколько аналогичных провалов на ровном месте остаются неизвестными?

Детектор криптолокеров для Mac OS X и проблемы восприятия

Новость.

Трояны-шифровальщики бывают разные. Они используют разные методы заражения, а иногда даже полагаются на недальновидного пользователя, который самостоятельно авторизует запуск вредосного скрипта. Но есть у них одна общая черта: рано или поздно они начинают шифровать файлы.

Исследователь из компании Synack Патрик Вардл решил воспользоваться этим очевидным недостатком шифровальщиков и написал утилиту Ransomwhere. Она срабатывает всего на двух условиях: если (1) недоверенный процесс пытается одновременно (2) зашифровать много файлов, нужно заблокировать это действие и попросить пользователя о подтверждении.

Проблем у такого подхода много, и о большинстве из них исследователь честно сообщает у себя в блоге. Один из немногих заметных троянов для Mac OS X — KeRanger — распространялся довеском к популярному клиенту Transmission, был подписан сертификатом разработчика и, таким образом, являлся доверенным процессом. И это не единственный способ такую утилиту обойти.

Попытка зашифровать данные — это, по сути, одновременная работа по изменению большого количества файлов, но детектировать криптолокеры по данному признаку нельзя — будет очень много ложных срабатываний. Вардл ссылается на некую математическую магию, а именно на подсчет уровня энтропии данных, который ожидаемым образом меняется при переходе файла из обычного состояния в зашифрованное. Но такая магия основывается на информации о типовых алгоритмах шифрования, и, если киберпреступник использует другой алгоритм или оригинальную их комбинацию, магия, может, и будет работать, а может, и нет.

В общем-то к утилите у меня претензий нет: это исследовательский проект и программа, написанная специалистом для специалистов. Проблема в том, что СМИ (например, например #2) представляют это как готовое решение для защиты от всех криптолокеров в мировом масштабе.

Это не так. Реальная защита не может основываться на единственном техническом кунштюке. Концепция хороша (мы и сами ее используем), но в идеале 98% криптолокеров вообще не должны проходить такую проверку: их нужно блокировать на более ранних этапах, от клика на подозрительный URL до загрузки вредоносного скрипта.

Что еще произошло:

Cisco Talos продолжает изучать обнаруженный ими серверный криптолокер SamSam, использующий уязвимость в JBoss. Раскопали они, увы, больше 3 миллионов потенциально уязвимых серверов, включая сервера в школах (60 тысяч в США) и библиотеках со специфичным ПО. Уязвимость, кстати, была запатчена шесть лет назад.

29% устройств на Android не обновляются достаточно быстро, чтобы считаться безопасными. В октябре прошлого года небезопасными посчитали 85% устройств. Откуда такая разница? Свежий отчет сделан самой Google, а 85% насчитали независимые исследователи, естественно, по разным критериям и методикам. В любом случае получается слишком много.

136 уязвимостей закрывает новый патч Oracle. Из них семь — с максимальным уровнем по шкале CVE.

Security Week 12: ФБР взломает айфон без помощи Apple, криптодыра в iMessage, шифровальщики в больнице

Древности:

«Shake»

Резидентный очень опасный вирус. Стандартно поражает .COM-файлы текущего каталога при вызове функции GetDiskSpace (int 21h, ah = 36h). У зараженных файлов устанавливает время 60 секунд. Перехватывает и не восстанавливает int 24h. При старте зараженной программы с вероятностью 1/16 сообщает: «Shake well before use». Перехватывает int 21h.

Цитата по книге «Компьютерные вирусы в MS-DOS» Евгения Касперского. 1992 год. Страница 82.

Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.

Советы

Школа и киберугрозы

Почему в сфере образования следует внимательно относиться к кибербезопасности и как правильно защитить школу от возможных атак.