Security Week 19: искусственный интеллект в безопасности, zero days у Microsoft и Adobe, иной взгляд на криптолокеры

В этом выпуске Константин Гончаров рассказывает, почему компьютеры не заменят настоящих экспертов по безопасности, делится сведениями о дырах и патчах у Microsoft и Adobe, а также приводит историю жертвы шифровальщика

Security Week 19: искусственный интеллект в безопасности, zero days у Microsoft и Adobe, иной взгляд на криптолокеры

Security Week 19: искусственный интеллект в безопасности, zero days у Microsoft и Adobe, иной взгляд на криптолокеры

Начнем выпуск с производственной новости: компания IBM намерена использовать суперкомпьютер Watson для решения задач в области информационной безопасности (новость, официальный пресс-релиз). Напомню, Watson — это, как говорится в официальных документах, программно-аппаратный комплекс (кластер из 90 серверов), способный отвечать на вопросы на естественном языке, или своего рода реализация искусственного интеллекта. В 2011 году Watson одержал победу над жалкими людишками многократными победителями в игре Jeopardy (у нас это «Своя игра»).

В IBM хотят научить Watson обрабатывать большой поток связанной с ИБ информации — так, чтобы суперкомпьютер мог «отличать вирусы от троянов». Для этого IBM будет сотрудничать с рядом американских университетов, студенты которых будут соответствующим образом готовить информацию для дальнейшей обработки. Данных получится много, речь идет о миллиардах записей.

Впрочем, пока рано говорить о том, что искусственный интеллект и человекоподобные роботы защитят нас от всех киберугроз. Конечные цели в анонсе даны очень широкими мазками: «автоматизировать нахождение взаимосвязей между данными [об инцидентах], потенциальными угрозами и стратегиями защиты».

С одной стороны, тема машинного обучения, искусственного интеллекта и поиска аномалий в огромном потоке данных (например, в сетевом трафике) весьма перспективна; да, собственно, уже сейчас такие алгоритмы широко применяются: начиная от детектирования новых угроз на основе информации о предыдущих инцидентах и до выявления сложных, таргетированных атак.

С другой — почти все в индустрии согласны, что абсолютно все автоматизировать не получится, даже если оснастить парой «Ватсонов» каждое крупное предприятие. Доля «ручного труда», а точнее, необходимость в высококлассных экспертах для расследования угроз остается весьма высокой. Большую роль в безопасности играет человеческий фактор, а это совсем уж плохо алгоритмизируемая задача.

Впрочем, IBM формулирует задачу корректно: «дать новые возможности экспертам по безопасности». Не заменить их. В этом ключевое отличие данной инициативы от иных попыток порекламироваться на теме машинного обучения, обещая, что «компьютер все поймет» и сам научится детектировать любые атаки. Не научится. Почему — сейчас объясню.

Предыдущие выпуски сериала — тут.

Из всех недавних успехов в области искусственного интеллекта на слуху больше всего победы машин над людьми в интеллектуальных играх. Deep Blue против Каспарова в шахматах, Watson в «Своей игре» и совсем недавно — победа суперкомпьютера в го. В марте, когда я был на конференции RSA, победа в го упоминалась чуть ли не в каждом втором выступлении. Процитирую президента RSA Амита Йорана по данной теме: «AI — это круто, но не надо ожидать каких-то прорывов в этом направлении применительно к IT-безопасности, основываясь на сегодняшних успехах».

Security Week 19: искусственный интеллект в безопасности, zero days у Microsoft и Adobe, иной взгляд на криптолокеры

Одно дело — победить пусть даже и в сложной «человеческой» игре, другое — иметь возможность предсказывать и предотвращать кибератаки. В первом случае ведется игра по правилам. Во втором — никаких правил нет. ИИ в ИБ помогает только в решении отдельных задач, и чем больше будет таких «обучаемых» технологий, тем больше времени будет у эксперта, чтобы заниматься другими проблемами: оценивать риски, предсказывать векторы атаки и предотвращать самые сложные инциденты. Заменить человека полностью пока не получается и вряд ли получится.

Опасные уязвимости в Windows и Adobe Flash уже используются для атак на пользователей и розничные сети

Новость про Microsoft. Новость про Adobe.

Уязвимость в Windows патчилась два раза: частично дыра, позволяющая выполнять произвольный код с системными привилегиями, была закрыта в одном из апрельских пакетов заплаток, а окончательно — в свежем обновлении, выпущенном в этот вторник. Уязвимость затрагивает все актуальные версии Windows, от 7 до 10, и обнаружена была, увы, в ходе анализа серии успешных атак. Причем киберпреступники прицельно искали компании и устройства, используемые для обработки платежей с кредитных карт.

Кампанию в марте обнаружила компания FireEye: первоначальное проникновение в сеть жертвы проводилось традиционно, с помощью «подготовленного» документа Word, рассылаемого по e-mail. В общем, упомянутый мною ранее сезон атак на американские розничные сети продолжается: киберпреступники стараются успеть до введения платежей EMV (с чипом и PIN-кодом, как во всех нормальных странах), с которыми перехват данных кредиток значительно усложняется.

Критическая уязвимость в Adobe Flash то ли используется, то ли нет: в Adobe утверждают, что не видели атак, а независимые источники опровергают. Учитывая потенциальную опасность уязвимости (эксплуатация может вызвать сбой приложения и получение контроля над системой), Adobe заранее предупредила о ее обнаружении 10 мая, а 12-го — выпустила кумулятивный патч.

Криптолокеры: взгляд со стороны жертвы

Статья на Threatpost.

Самая популярная публикация на Threatpost на этой неделе новостью не является, но показывает под неожиданным углом проблему троянов-вымогателей. Взглядом на проблему со стороны жертвы поделился IT-специалист компании, управляющей онлайновым казино. Перед публикацией он попросил имен не называть. В компании работают около тысячи сотрудников. Несмотря на то что такой бизнес весьма уязвим перед кибератаками, как это часто бывает, IT-безопасность не является самым главным приоритетом — других проблем хватает.

В материале приводится пример реальной атаки криптолокера на инфраструктуру компании. Точкой входа оказывается внешний консультант — специалист, работающий удаленно на ноутбуке, предоставленном компанией. По какой-то причине лэптоп оказывается ничем не защищен, зато имеет подключение к корпоративным сетевым папкам, как утверждается, из-за неправильной конфигурации (файловые шары примонтированы в папку Public пользовательского раздела — не самый лучший вариант). После попытки открыть вложение в письме, похожем на привычный инвойс, начинается шифрование данных. И здесь хорошо заметно, как медленно реагируют на эту проблему и пользователь, и специалисты по IT, в то время как реагировать надо быстро.

Security Week 19: искусственный интеллект в безопасности, zero days у Microsoft и Adobe, иной взгляд на криптолокеры

Владелец ноутбука полчаса дозванивается до поддержки, ему все еще кажется, что произошла какая-то техническая неисправность. Пока он объясняет, что происходит, шифрование данных продолжается, наконец он получает правильный совет: отключить ноутбук от сети, прямо сейчас. Тем временем успевают зашифроваться файлы на сервере и некоторых других компьютерах сотрудников, также криво подключенных к сетевым папкам.

В общем, история типичная: атака через самое уязвимое звено, которым обычно оказывается подрядчик или фрилансер, шифрование данных на компьютере и в сетевых папках, быстрое распространение проблемы по сети. К счастью, в данном случае важные данные не были потеряны и работа компании не была нарушена. Наконец, интересное частное наблюдение: если полгода назад админы компании фиксировали одну попытку атаки криптолокера в день, то теперь блокируют минимум три. Компания была атакована троянцем TeslaCrypt, о котором мы подробно писали в прошлом году.

Что еще произошло:

Еще одна уязвимость в системном ПО на ноутбуках Lenovo.

Интересный лонгрид о сложных взаимоотношениях американского ФБР и восточноевропейского киберкриминала в журнале Wired.

Криптолокер пытался атаковать американский конгресс.

Создателя анонимной платежной системы LibertyReserve посадили на 20 лет.

Security Week 12: ФБР взломает айфон без помощи Apple, криптодыра в iMessage, шифровальщики в больнице

Древности:

«Something-658»

Резидентный очень опасный вирус, записывается в начало запускаемых COM-файлов. 11-го числа ежемесячно стирает файл C:/AUTOEXEC.BAT, записывает в него команды DEL *.COM, DEL *.EXE, а затем создает файл SOME нулевой длины. Перехватывает int 21h. Содержит тексты: «Something v1.1», «some c:autoexec.bat del *.com del *.exe».

Цитата по книге «Компьютерные вирусы в MS-DOS» Евгения Касперского. 1992 год. Страницa 83.

Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.

Советы