Security Week 28: приватность покемонов, критическая инфраструктура онлайн, постквантовая криптография в Chrome

В этом выпуске Константин Гончаров рассуждает о Покемонах и киберграмотности, жалуется на плохую ситуацию с безопасностью критической индустриальной инфраструктуры и рассказывает о новом типе криптографии в Chrome

Security Week 28: Приватность покемонов, критическая инфраструктура онлайн, постквантовая криптография в Chrome

Как, и тут покемоны?! А что делать: одним из основных критериев выбора значимых новостей по безопасности для меня по-прежнему является их популярность на Threatpost. Способ не идеальный, но достаточно объективный. Если в топе находятся какие-то странные штуки, есть повод разобраться, как так получилось. Как, например, это вышло с новостью про вредоносный код в метаданных PNG в топе 2014 года. Как правило, объяснение таким казусам находится не в технических особенностях угрозы, а в том, как безопасность воспринимают люди. А это тоже интересно.

Новость про вредоносные приложения, маскирующиеся под Pokémon Go, — она вообще на 100% про восприятие, точнее про то, что все вокруг сошли с ума. По данным исследователей из Proofpoint, киберпреступники воспользовались недоступностью игры в официальных магазинах приложений в ряде регионов, рассчитывая получить свои пять копеек незаконной прибыли от всеобщей популярности.

Впрочем, и в аутентичном приложении обнаружились проблемы. Исследователь Адам Рив обнаружил, что при регистрации учетной записи в игре пользователям требуется предоставить полный доступ к своему аккаунту Google. То есть разработчик игры, компания Niantic Labs, получает возможность читать всю почтовую переписку, отправлять письма от имени игрока, может скачивать все документы с Google Drive, смотреть историю поиска и навигации и многое другое. Примечательно, что на момент данного открытия альтернативный способ регистрации, не через Google, просто не работал.
Все выпуски дайджеста доступны по тегу.

Впрочем, сразу же выяснилось, что доступ можно и отменить, и на работоспособности игры это никак не скажется. Но пользователь должен сделать это сам. Очевидно, что разработчики допустили ошибку, в чем позднее и признались, пообещав все исправить. Разгребать руины конфиденциальности вынуждены и в Google: им придется отменять привилегии для уже зарегистрированных пользователей, так как вендор сам это сделать, видимо, не может.

Ни один покемон не пострадал. Вся эта история еще раз доказывает: большинству пользователей, мягко говоря, безразличны вопросы приватности. Иначе блистательный старт первой по-настоящему популярной игры с дополненной реальностью был бы сорван. Но нет. И главное — бесполезно винить в этом игроков, если подобные ляпы допускают куда более осведомленные разработчики.

Разрабатывать небезопасно, вести себя небезопасно — легко. Обратное куда сложнее. Думаю, что решать эту проблему нужно не на уровне законодательства (как это сделано, например, в довольно дурацком законе про отслеживание cookies), а на уровне технологий. Необходимость работы с людьми (обучение практикам безопасной разработки, методам защиты конфиденциальности) это, впрочем, не отменяет.

91% доступных онлайн компонентов индустриальных систем уязвимы

Новость. Исследование «Лаборатории».

В Интернете можно найти все что угодно, просто надо знать, где искать. Эксперты «Лаборатории Касперского» использовали доступные всем инструменты вроде специализированного поисковика Shodan, чтобы посчитать количество специализированных устройств АСУ, доступных в Сети.

Автоматизированные системы управления — это очень широкий термин, объединяющий как индивидуальные контроллеры солнечных батарей, так и системы управления крупными и критически важными объектами. Общее у них одно: светить контроллерами в Интернет — не самая лучшая идея, и в большинстве случаев (когда это не honeypot, конечно) это индикатор неправильной конфигурации системы.

Подготовив довольно длинный список критериев, по которым можно идентифицировать системы АСУ, эксперты нашли более 220 тысяч таких устройств на 188 тысячах хостов. По странам они делятся так:

Security Week 28: Приватность покемонов, критическая инфраструктура онлайн, постквантовая криптография в Chrome

Дальнейшее изучение этих устройств показало, что абсолютное большинство из них в той или иной степени подвержены атакам. Наиболее часто встречающийся критерий — зависимость устройств от незащищенных по своей природе протоколов передачи данных. То есть, если система управляется удаленно, возможен перехват трафика с минимальными усилиями.

На 6,3% хостов обнаружены системы с более серьезными уязвимостями. Больше всего было найдено контроллеров Sunny WebBox (управление солнечными батареями), о которых известно, что они содержат намертво вшитые пароли доступа.

Основной причиной подобных провалов в безопасности является распространенный в индустриальных системах подход security through obscurity: когда делается расчет на то, что неизвестно, какие контроллеры и протоколы используются, доступ к ним ограничен, а сами системы сложны для анализа даже для тех, кто владеет документацией. Собственно, исследование показывает, насколько данный подход плох.

Во-первых, большая часть информации в исследовании (сами уязвимые хосты, типы и характеристики уязвимостей) получена из открытых источников: ничто не мешает сделать то же самое людям с преступными намерениями.

Во-вторых, использование незащищенных протоколов связи с расчетом на изоляцию устройств от Интернета может выйти боком. Может произойти ошибка в конфигурации, причем в сложной инфраструктуре за настройку критически важного сегмента может отвечать один человек, а за сетевую безопасность — другой, в результате проблема вылезает где-то на стыке полномочий.

В-третьих, повторю свой вывод из предыдущего дайджеста: между «элитными» АСУ и «гражданским» Интернетом вещей не такая уж большая разница на уровне железа и софта. Популярность IoT и связанный с ней рост количества атак рано или поздно могут принести проблемы очень и очень серьезным объектам инфраструктуры.

Google тестирует в Chrome постквантовую криптографию

Новость.

Спонсором этой новости является американское Агентство национальной безопасности, в прошлом году выпустившее коммюнике (уи-и!), в котором были высказаны сомнения в долговременной надежности некоторых методов шифрования. Подробнее об этом я писал вот в этой серии дайджеста.

Если коротко, то прогресс в области квантовой криптографии требует внедрения новых стандартов, например RSA с длиной ключа 3072 бита. То есть, с одной стороны, прогресса в создании квантовых компьютеров, способных ломать современную стойкую криптографию, на самом деле нет, с другой стороны, АНБ высказывает сомнения. Естественно, все это породило массу споров и теорий заговора, и про них можно почитать в том же выпуске.

Короче, в Google, кажется, тоже что-то знают. 7 июля они сообщили о начале эксперимента с постквантовой криптографией в браузере Chrome. Конкретно — в девелоперской версии браузера Chrome Canary у некоторых пользователей будет включена система шифрования подключения к серверам Google с помощью нового алгоритма. Система же построена на основе научной работы по внедрению постквантового алгоритма в протокол TLS. Алгоритм назван символически — «Новая надежда».

Security Week 28: Приватность покемонов, критическая инфраструктура онлайн, постквантовая криптография в Chrome

Разработчики пишут, что эксперимент преследует две цели. Во-первых, дать исследователям поломать практическую реализацию постквантового алгоритма. Во-вторых, оценить скорость и надежность соединения в такой конфигурации. В посте команды Google прямо говорится, что «Надежду» не планируется навязывать как новый криптостандарт, но кто знает, кто знает

Что еще произошло:

Оригинальная уязвимость во wget (хотя, казалось бы, как можно сломать wget?).

Обсуждение системы шифрования данных в Android продолжается. К недавнему описанию конкретного метода атаки добавилась комплексная оценка системы KeyStore для хранения криптографических ключей. Общий вердикт: ненадежно.

Security Week 20: случайные числа, уязвимость в 7-Zip, Microsoft выключает WiFi Sense

Древности:

«Hallöchen»

Резидентный опасный вирус, стандартно поражает .COM- и .EXE-файлы (у .COM-файлов изменяет первые 6 байт начала: JMP Loc_Virus; DB (?); DW 5555h). В зависимости от «поколения» вируса периодически «шутит» с клавиатурой: при обработке клавиатурного прерывания подставляет другой символ. Замедляет работу компьютера — задержка на int 8. Перехватывает int 8, 16h, 21h. Содержит текст: «Hallöchen !!!!!!, Here I’m Activate Level 1».

Цитата по книге «Компьютерные вирусы в MS-DOS» Евгения Касперского. 1992 год. Страницa 69.

Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.

Советы