20 ноября 2015

Security Week 47: {не}взломанный Tor, Gmail предупреждает о дешифровке, атака штрихкодами

Новости

20 ноября 1985 года мир впервые познакомился с операционной системой Windows. Нет, не так. С операционной системой Windows 1.0 познакомилась довольно узкая прослойка людей, связанных с IT, которых ровно 30 лет назад было гораздо меньше, чем сейчас. Пресс-материалы к запуску были распечатаны на бумаге, с теплыми, ламповыми фотографиями интерфейса, сделанными с монитора пленочным фотоаппаратом.

Security Week 47

По-хорошему Windows 1.0 и операционкой-то назвать нельзя — скорее надстройкой над MS-DOS. В пресс-релизе цитируется Билл Гейтс: «Windows дает пользователям беспрецедентные возможности уже сегодня, а также является фундаментом для развития в области программного и аппаратного обеспечения на несколько лет вперед». И в целом он был прав, так все и вышло.

30 лет спустя Microsoft объявляет о масштабной инициативе в области безопасности, а последователь Билла Гейтса и Стивена Баллмера — Сатья Наделла называет Windows 10 самой защищенной операционной системой.

С этим можно поспорить, но анонсированные планы по улучшению безопасности платформы, безусловно, масштабные: новая система управления безопасностью мобильных устройств для компаний (причем с поддержкой iOS и Android), расширение штата экспертов внутри компании, в том числе для обработки аналитики с миллионов Windows-машин по всему миру. Большая часть инициатив в анонсе направлена на корпоративную безопасность, но и обычным пользователям обещают больше защиты от вредоносных программ, кражи паролей и прочего.

Насколько серьезно изменится ситуация с безопасностью, покажет время, на этой неделе Microsoft скорее обнародовала план, а не отчитывалась о результатах. Несмотря на разницу в технологиях и возможностях, между Windows 1.0 и Windows 10 есть много общего не только в названии. Пережив долгосрочный период почти абсолютной монополии, платформа Microsoft, как и 30 лет назад, всерьез конкурирует с другими ОС.

Security Week 47

А вот в сфере безопасности изменилось вообще все: от самой постановки проблемы до масштаба угроз. Тут не только Microsoft, а всем разработчикам софта и железа есть над чем поработать. Посмотрим, что случилось на этой неделе. Все выпуски дайджеста — тут.

Университет Карнеги — Меллон то ли взломал, то ли не взломал Tor и то ли получил, то ли не получил за это миллион долларов от ФБР

Новость. Предыдущая новость. Анализ Tor с точки зрения анонимности.

Отличный образец новости о безопасности, в которой нет ни грамма технологий. Еще на прошлой неделе на сайте проекта Tor публикуется запись, в которой университет Карнеги — Меллон обвиняют в том, что: а) они пытались взломать Tor с помощью «заряженных» передающих узлов сети; б) они получили за это (как минимум) $1 млн от ФБР. Речь идет об уязвимости, обнародованной и закрытой еще летом 2014 года: руководство проекта тогда сообщило, что модифицированные атакующие узлы наблюдались в сети с февраля по июль и все, кто пользовался Tor в этот период, теоретически были несколько менее анонимны, чем предполагалось.

Примерно тогда же на августовскую конференцию Black Hat 2014 было заявлено выступление исследователей из Карнеги — Меллон о том, как всего за $3 тыс. можно деанонимизировать пользователей Tor. Задолго до мероприятия заявка неожиданно отзывается, текст анонса удаляется с сайта Black Hat. А в этом году в материалах суда над оператором Silk Road 2.0 — последователя того самого гипермаркета наркотиков и прочего непотребства — упоминается, что доказать связь между обвиняемым и сервером, на котором крутился подпольный магазин, удалось с помощью некоего «исследовательского центра на базе университета».

Security Week 47

Тот самый $1 млн при этом является чистой догадкой на основе информации из источников, «пожелавших сохранить анонимность». Знаем мы эти источники. Так почему эта новость и на прошлой неделе, и на этой нагенерировала столько драмы? Даже без прошлогодней уязвимости в Tor есть масса способов раскрыть личность конкретного пользователя, хотя в утечках Сноудена говорится, что эта сеть — настоящая головная боль правоохранителей.

Ну наисследовали, ну заплатили, и что? Претензия проекта Tor заключается в том, что подобный метод взлома сети (когда компрометируются сразу много пользователей, а после в полученных данных ищут нужных) как бы не совсем правильный. А если говорить прямо, то это еще один вариант массовой слежки, не совсем этичный, и если ФБР на свою репутацию наплевать, то известному университету — нет. Поэтому и критикуют.

На этой неделе представитель Карнеги — Меллон попытался исправить ситуацию. Получилось не очень: три абзаца официального заявления содержали в себе туман и непрозрачные намеки о том, что в некоторых случаях правоохранительные органы могут использовать судебное предписание, чтобы уточнить у исследователей детали их исследования. И университету приходится им подчиняться. Переводим на человеческий язык: миллиона долларов не было, но ФБР нужную информацию таки получило.

Не все специалисты и диванные эксперты согласны, но дальше уже начинается обсуждение, кто кому сколько и за что платит, — ну вообще неинтересно. Важную мысль высказал директор Tor Project Роджер Динглдайн. Исследователи Карнеги — Меллон по идее представляют индустрию безопасности, которая угрозы должна выявлять и помогать их чинить. Правоохранительным органам нужно помогать исследовать угрозы, а вот становиться их подрядчиком и ломать защиту при помощи найденных уязвимостей — это не ОК.

Security Week 47

Пересекли исследователи Карнеги — Меллон эту тонкую грань или нет — мы достоверно не знаем, но интерес к данной истории показывает, что вопрос на самом деле серьезный.

Google предупредит пользователей Gmail о письмах, присланных по незащищенным каналам

Новость.

Пятиминутное гугление по фразе «E-Mail is Dead» дает массу ссылок на статьи, памфлеты, творческие зарисовки и новости о том, умерла ли электронная почта или еще нет. Это одна из самых древних концепций Интернета, многие технические аспекты которой были стандартизированы еще в 70-х (а схожие на уровне идей прототипы вообще появились в 60-х). Старше веба, сильно старше фейсбука, заметно старше даже самих персональных компьютеров и их деривативов.

Несмотря на то что современная почта отличается от UUCP образца 1978 года так же, как Windows 1.0 от Windows 10, на уровне инфраструктуры не надо глубоко копать, чтобы наткнуться на какого-нибудь плохо сконфигурированного, забытого в дальнем углу серверной почтового динозавра.

Security Week 47

Ключевая проблема электронной почты — безопасность. Еще буквально лет 10 назад широко распространенным методом передачи сообщений от сервера к пользователю был протокол POP3, вообще не предполагающий какого-либо шифрования данных. Сюда же запишем проблему идентификации отправителя: подделать сообщение и сейчас достаточно просто. У самой Gmail с защитой вроде бы все в порядке, но у других операторов почтовых систем не обязательно так же. Насколько плохо? Исследователи Google выяснили в научной работе. Взяли миллион доменов из топа Alexa, идентифицировали 700 тыс. уникальных почтовых серверов и проанализировали их безопасность.

Получилось вот что. 82% почтовых серверов поддерживали подключение по протоколу TLS, но из них только 35% были правильно настроены. Те две трети неправильно настроенных серверов запросто могут передавать сообщения открытым текстом, а значит, когда с них или через них отправляется почта на Gmail или на другой хорошо защищенный сервер, на определенном этапе она все равно проходит по открытым каналам.

Если считать по сообщениям, то примерно четверть писем, приходящих на Gmail с серверов за пределами США, были незашифрованными. Особенно исследователи отметили совсем плохую ситуацию с почтой в Тунисе, Папуа — Новой Гвинее, Непале, Кении, Уганде и Лесото. Например, 96% сообщений, приходящих на Gmail с серверов Туниса, оказываются незашифрованными.

Security Week 47

В исследовании есть и позитивные моменты

Как результат, Google планирует сообщать пользователям Gmail, если пришедшее к ним сообщение проходило по открытым каналам в незащищенном виде, тем самым намекая, что эту переписку может читать кто угодно. Как и ранее объявленная инициатива DMARC, это неплохое нововведение, тем более что Gmail (пока) не обещает блокировать эти сообщения, кидать их в спам и так далее.

Но тенденция интересная — новый взгляд на ту самую фрагментацию Интернета, о которой много говорят специалисты. Только происходит она не по политическим причинам, а по техническим: если где-то в далекой глуши не хватает знаний и ресурсов, чтобы правильно все настроить, то рано или поздно эта глушь может перестать иметь равные права с другими ресурсами во Всемирной сети.

Сканеры штрихкодов можно взламывать. Угадайте, через что

Новость. Видеодемонстрация исследователя.

На этой неделе в Японии прошла конференция PanSec 2015, на которой исследователи из китайской компании Tencent показали интересный способ взлома сканеров штрихкодов. С помощью, как вы уже, наверное, поняли, штрихкодов. Специально модифицированные штрихкоды позволяли выполнять на системе с установленным сканером произвольные команды, примерно так: одним хитрым кодом открываем консоль, другими хитрыми кодами печатаем в нее команды.

На видео заметно, что взлом такого рода — довольно трудоемкая задача. В штрихкод много данных не запишешь, поэтому исследователю приходится листать перед сканером пачку кодов, чтобы добиться результата. Если вдруг атаку такого рода получится упростить, то теоретически под удар будет поставлено много чего. Например, сканеры штрихкодов «узнай цену» в магазинах — вполне можно допустить, что они подключены к закрытой сети с массой интересной информации внутри.

Мораль сей басни такова: пользовательскому вводу нельзя доверять — никакому, даже если используются нестандартные способы. Сегодня мы говорим о сканере штрихкодов, завтра, возможно, будем обсуждать сканеры отпечатков пальцев в мобильниках. Независимо от формата ввода на выходе мы получаем код, и этот код вполне может быть исполняемым.

Что еще произошло:

Полицейские видеорегистраторы оказались заражены вирусом Conficker. Конфикером, Карл! Червем 2008 года выпуска. Всему виной устаревшая ОС и отсутствие базовых мер безопасности у производителя. Это не единственный пример такого рода. В сентябре Conficker-friendly-уязвимость была обнаружена на множестве медицинских компьютерных приборов в США. Видео авторов исследования:

Интересное исследование стандартных систем шифрования в iOS и Android. Краткое резюме: физический доступ к устройству пока что позволяет это шифрование обойти, пусть и не самыми тривиальными методами.

Два новых представителя POS-malware — зловредов, атакующих вредоносные терминалы и позволяющих украсть данные кредитных карт. С этой угрозой сталкивается пока очень мало компаний (по нашим данным, всего 1%), но последствия даже одной успешной атаки, например, на крупную розничную сеть могут быть очень серьезными.

Древности:

Семейство «Brain»

Состоит из двух практически совпадающих безобидных вирусов — «Brain-Ashar» и «Brain-Singapore». Они заражают Boot-секторы дискет при обращении к ним (int 13h, ah = 02). Продолжение вируса и первоначальный Boot-сектор размещаются в секторах, которые принадлежат свободным кластерам диска. При поиске этих кластеров вирусам приходится анализировать таблицу размещения файлов — FAT. В FAT эти кластеры помечаются как «плохие» (так называемые псевдосбойные кластеры). У зараженного диска устанавливается новая метка «(С) Brain». Вирусы используют «стелс»-механизм: при попытке просмотра Boot-сектора зараженного диска «подставляют» истинный Boot-сектор.

"Компьютерные вирусы в MS-DOS", Евгений Касперский, 1992
Цитата по книге «Компьютерные вирусы в MS-DOS» Евгения Касперского. 1992 год. Страница 95.

Кстати, в 2011 году Микко Хиппонен из компании F-Secure специально ездил в Пакистан, чтобы поговорить с авторами вируса. Найти их оказалось сложно, но вполне реально: авторство было закодировано в одной из модификаций. Brain считается одним из самых первых вирусов для платформы IBM PC. Обнаружен в 1986 году.

Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.