7 сентября 2015

Security Week 36: джейлбрейк-ограбление, прощание с RC4, пористость роутеров

Новости Угрозы

Когда компьютеры наконец научатся включать напрямую в мозг, наша жизнь станет значительно интереснее. Вместо эсэмэсок мы будем получать ментограммы, их вкрадчиво нашепчет внутренний голос. Подумал интересную мысль — поделись с друзьями легким движением мозга! Вспомни, что жена просила купить в магазине, всего за $2,99 без НДС.

Несовершенные технологии первых биодискретных интерфейсов будут передавать на компьютер (смартфон, только без экрана) терабайты данных в минуту, оставляя за мощными процессорами будущего работу по вылавливанию крупиц смысла из шума электроимпульсов.

Security Week 36: джейлбрейк-ограбление, прощание с RC4, пористость роутеров

Зачем на картинке подают в голову 5 и 12 вольт? Я не знаю!

Короче, новейший iPhone 164 будет знать о нас абсолютно все. Переживший уже 34 ребрендинга и 8 реструктуризаций Google будет хранить эти данные и перерабатывать дальше в дата-центрах, занимающих более 2% поверхности Земли. И только потом, совершив невероятный прорыв в технологиях, начнут думать о том, как эти данные защитить.

Только после первого появления сборника эротических снов ничего не подозревающих граждан и гражданок на черном рынке в Бангкоке. Только после скандала с банком, читающим мысли получателей кредита прямо во время подачи заявления. И вот тогда придется всерьез разбираться — что же мы за данные собираем? Как храним?

Но это все будет потом. Интересно, а сейчас кто-нибудь задумывается о том, насколько сильно выдает владельца архив показаний гироскопа из мобильника? Исследования в области безопасности всегда происходят после выхода технологий на рынок, в то время как создатели технологий почти никогда не задумываются о безопасности.

В сегодняшнем дайджесте важных новостей инфобезопасности за неделю — разбор полетов в софте и устройствах дня сегодняшнего, которыми миллионы людей пользуются уже давно. Напоминаю правила: каждую неделю редакция новостного сайта Threatpost выбирает три наиболее значимые новости, к которым я добавляю расширенный и беспощадный комментарий. Все эпизоды сериала можно найти тут.

Троян, крадущий данные со взломанных iPhone

Новость. Исследование Palo Alto Networks. Краткое разъяснение, кому стоит волноваться.

Не все отчеты о какой-нибудь уязвимости или краже можно взять и пересказать простыми словами. Этот — можно. В Китае обнаружили приложение для айфона, которое встраивается в коммуникации между смартфоном и серверами Apple и крадет пароли от iTunes Store. Обнаружили по побочным признакам: массовые жалобы пользователей на кражу денег с их счетов — карточка у всех пользователей Apple привязана к аккаунту тугим морским узлом, и ничего, кроме пароля для оплаты «птичек», обычно не требуется.

Круто, да? Не совсем. Нападению подверглись только владельцы устройств с джейлбрейком. Независимые исследователи из Китая, попросившие называть их WeipTech, случайно сломали C&C-сервер преступников и обнаружили там в открытом доступе данные более 225 тыс. пользователей (вот уж не знал, что сторонников джейлбрейка так много) в формате «юзернейм, пароль, GUID устройства».

Ну дальше все понятно: вредоносное приложение распространяется через пиратскую вольницу альтернативного магазина Cydia, встраивается в коммуникации между девайсом и Apple по технологии man-in-the-middle и шлет украденное на свой сервер. Вишенка на торте: ключ для шифрования паролей статический, использует фразу «mischa07».

Security Week 36: джейлбрейк-ограбление, прощание с RC4, пористость роутеров

Mischa07 крадет пароли пользователей

Непонятно, смог ли серьезно заработать на атаке KeyRaider этот самый Миша, да и не в этом дело. Главное в этой новости вот что: айфон с джейлбрейком с точки зрения безопасности оказывается хуже Android. Если сломать (очень прочную) защиту iOS, то дальше, получается, никаких проверок нет? Делай что хочешь? Вполне типичная ситуация для хорошо охраняемых систем, кстати: по периметру мощные файерволы, физическая защита, все отключено от Интернета, муха не пролетит.

Внутри — компьютер на четвертом пне и с не патченной с 2003 года Windows XP. А если периметр удастся обойти? Собственно, в контексте iOS возникает тот же вопрос: если вдруг появится простой, действующий, массовый рут-эксплойт, что произойдет? Есть ли у вендора план Б? Или внезапно окажется, что у Android в такой ситуации большое преимущество, так как с ним уже давно понятно, что сломать можно все и разработка ведется соответствующим образом?

Google, Mozilla и (еще раньше) Microsoft попрощаются с RC4 в 2016 году

Новость.

В предыдущей серии (применительно к man-on-the-side DDoS-атаке на GitHub) мы остановились на том, что использование HTTPS — это благо и для пользователя, и для владельца веб-сервиса. И это так, проблема только в том, что не все реализации HTTPS одинаково полезны, а некоторые, использующие древние методы шифрования, даже вредны. Примеры — SSLv3 в атаке POODLE и вообще все, что использует шифр RC4.

Если SSLv3 недавно отметил 18-летие и теперь может легально покупать алкоголь, то RC4 корнями уходит и вовсе в 80-е годы прошлого века. Применительно к вебу нельзя пока сказать, что подключение с использованием RC4 гарантирует компрометацию соединения. Ранее организация Internet Engineering Task Force отметила, что теоретические атаки против RC4 находятся «на грани реализации на практике».

Действительно, вот пример недавнего исследования: откат с нормального шифра до RC4 при подключении к сайту позволяет расшифровать передаваемые файлы cookie (а значит, угнать сессию) всего лишь за 52 часа. Для этого надо перехватить несколько cookie и, примерно понимая, что будет на выходе, брутфорсить с несколько большей вероятностью успеха, чем обычно. Возможно? Да, но с оговорками. На практике используют? Да кто ж его знает. В утечках Сноудена намекалось на то, что спецслужбы могут ломать RC4 с высокой степенью надежности.

Security Week 36: джейлбрейк-ограбление, прощание с RC4, пористость роутеров

В общем, новость получается позитивная: потенциально уязвимый алгоритм шифрования еще даже не доломали до конца (по крайней мере, не массово), а его уже скоро окончательно заблокируют. Да и сейчас он используется крайне редко — для Chrome это 0,13% всех подключений (в абсолютных цифрах это все равно до фига много). Похороны RC4 официально намечены на 26 января (Firefox 44) и до конца февраля (Chrome). Microsoft также планирует запретить коннект на RC4 в начале года, для Internet Explorer и Microsoft Edge, по причине, цитирую, «невозможности отличить при фоллбэке на TLS 1.0 с использованием RC4 ошибку веб-мастера от man-in-the-middle-атаки».

Не могу не разбавить оптимизм каплей скепсиса. Жертвами таких апгрейдов обычно становятся либо криво настроенные и мало кому нужные сайты, либо проверенные временем критичные веб-сервисы, в которых сложно что-то поменять. Не исключено, что в феврале мы увидим бурное обсуждение на форумах того, как пользователи после обновления браузера не могут попасть в какой-нибудь суперзащищенный интернет-банк. Посмотрим.

Уязвимости в роутерах Belkin N600

Новость. Предупреждение от CERT.

Очень люблю новости про уязвимости в роутерах. В отличие от компьютеров, смартфонов и других устройств, которыми мы пользуемся каждый день, маршрутизатор обычно пылится где-нибудь в углу, на него не обращают внимания годами, особенно если роутер хороший и работает без сбоев. При этом, скажем честно, никто не знает, что на самом деле в этом черном ящике происходит. Даже если вы лично накатили на него кастомную прошивку на базе OpenWRT.

Тем более если вы не технарь, а роутер поставил и настроил провайдер. При этом в роутере содержится ключ ко всем вашим данным: хочешь — лезь в домашнюю файловую шару, хочешь — перехватывай трафик, подменяй странички интернет-банкинга, засовывай рекламу в результаты поиска Google. Достаточно только один раз получить доступ через единственную уязвимость или, что гораздо чаще бывает, не уязвимость даже, а кривую конфигурацию производителя.

Хотел бы сказать, что сам я обновляю прошивку роутера часто, как только выходит свежий апдейт, но это не так. В лучшем случае — раз в полгода, и то благодаря тому, что в веб-интерфейсе роутера появляется напоминалка. Чаще я обновлял предыдущий роутер, но только потому, что пытался победить постоянные зависания. И какое-то время лично мой роутер был подвержен вот этой уязвимости, позволяющей получить удаленный доступ.

Так что же вышло с роутерами Belkin? Там нашли сразу пять уязвимостей, так или иначе влияющих на безопасность. Например:

  1. Предсказуемые ID транзакций при запросах к DNS, позволяющие в теории подставить в ответ другой сервер, например, при запросе на сервер обновления прошивки. Не очень страшно.
  2. HTTP по умолчанию для важных операций, например для тех же запросов об обновлении прошивки. Страшновато.
  3. Отсутствие пароля по умолчанию для веб-интерфейса. Поменять можно вообще что угодно, правда, уже находясь внутри локальной сети. Средний уровень страшноты.
  4. Обход парольной аутентификации пользователя при доступе к веб-интерфейсу. Суть в том, что браузер сообщает роутеру, залогинен он или нет, а не наоборот. Подмени значение пары параметров в информации, передаваемой роутеру, — и пароль можно не вводить. 76% страшноватости.
  5. CSRF. Если заставить пользователя кликнуть на подготовленную ссылку, можно удаленно поменять что-нибудь в настройках роутера. Особенно легко это сделать, если пароль на веб-интерфейс не установлен. Страшно, аж жуть.

Ну окей, нашли много дыр в не самом распространенном (у нас) маршрутизаторе, ну и ладно. Проблема в том, что поиском уязвимостей в роутерах занимаются не так много людей, и то, что у Belkin нашли, а у другого производителя не нашли, не значит, что другой производитель надежнее. Просто до него еще руки не дошли.

Вот такая подборка новостей дает понять, что на этом направлении все очень, очень плохо. Вывод? Надо защищать свою локальную сеть хотя бы теми средствами, что есть: пароли на веб-интерфейс, никакого Wi-Fi с WEP, отключить WPS и другие неиспользуемые фичи вроде FTP-сервера и доступа по телнет/SSH, особенно снаружи. Короче говоря, все отключать, чем не пользуетесь.

Что еще произошло:

США планируют санкции против Китая за кибершпионаж. Одна из самых популярных новостей недели, но у нее есть особенность: на кибербезопасность или, если хотите, ландшафт угроз, она не повлияет никак, при любом раскладе. Сплошная политика.

Роутеры — это не самые небезопасные устройства. Видеоняни и прочие «юзер-френдли»-устройства наблюдения еще хуже. Отсутствие шифрования, авторизации и прочие неприятности. Впрочем, ничего нового.

Нашли способ отбирать группы в Facebook у владельцев через приложение Pages Manager. Уязвимость закрыта, исследователь получил обещанную Bug Bounty.

Древности:

"Компьютерные вирусы в MS-DOS", Евгений Касперский, 1992

Семейство «Andryushka»

Очень опасные резидентные «призрак»-вирусы. Поражают COM- и EXE-файлы, кроме COMMAND.COM, при старте зараженного файла (поиск в каталогах) и из своих TSR-копий (при открытии, выполнении, переименовании и т.д.). «Andryushka-3536» при заражении переводит EXE-файлы в COM-формат (см. вирус «VASCINA»). Внедрение вируса происходит в середину файла, при этом та часть заражаемого файла, куда записывается вирус, шифруется и дописывается к концу заражаемого файла.

Организуют счетчики в Boot-секторах дисков и в зависимости от их значения могут уничтожить несколько секторов на диске C:. При этом проигрывают мелодию и выводят на экран текст:

Security Week 36: джейлбрейк-ограбление, прощание с RC4, пористость роутеров

Также содержат текст «insufficient memory». Достаточно сложно работают с обработчиками прерываний: сохраняют в своем теле часть обработчика int 25h, а на освободившееся место записывают свой код (вызов int 21h). При вызове int 25h восстанавливают обработчик int 25h.

Цитата по книге «Компьютерные вирусы в MS-DOS» Евгения Касперского. 1992 год. Страница 23.

Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.