24 декабря 2015

Нестандартный топ событий в сфере IT-безопасности 2015

Новости Угрозы

Вот и пришло время повторить упражнение, которое я первый раз выполнил ровно год назад. Тогда я взял 10 самых популярных новостей с нашего сайта Threatpost и попытался выяснить, почему именно они, собственно, привлекли внимание общественности — и специалистов, и обычных пользователей.

Такой метод имеет очевидные недостатки — на популярность статей много что влияет, и совершенно не обязательно, что самые популярные новости об инцидентах в кибермире являются одновременно и самыми важными. Но есть и достоинства: событий в сфере информационной безопасности происходит огромное количество, и каждый участник их обсуждения, в зависимости от специализации и личных интересов, выберет свои «самые-самые». А тут — если и не самый объективный, то хотя бы независимый инструмент оценки.

В этом году подборка самых посещаемых новостей удачно делится на пять основных категорий:

  • Низкотехнологичные угрозы для пользователей;
  • «Уязвимости в неожиданных местах»: безопасность Интернета вещей, домашних и промышленных сетевых устройств;
  • Проблемы шифрования данных;
  • Громкие уязвимости в ключевых платформах и «хай-тек» киберугроз — примеры самых продвинутых атак;
  • Рутинные, но опасные уязвимости в распространенном софте.

Вот по ним и пройдемся.

Пользовательские угрозы

Январский троян в Facebook (новость, 10-е место). 110 тыс. пользователей Facebook заразились трояном, кликнув на ссылку в социальной сети! Да не может быть!

Нестандартный топ событий в сфере IT-безопасности 2015

В то время как космические корабли киберармий бороздят цифровое пространство, в обычном мире обычных людей обычный троян, маскирующийся под апдейт Adobe Flash, устанавливает на компьютеры жертв обычный кейлоггер. Такие инциденты мы постоянно отслеживаем, но в топ они попадают редко: для специалистов подобные происшествия особого интереса не представляют.

Тем не менее то, что можно назвать «традиционными атаками», было, есть и еще долго будет основной головной болью и у пользователей, и в компаниях. Как бороться с ними, в общем-то, понятно, технологии хорошо отработаны. Но атаки, подобные январской, успешно накрывают десятки тысяч пользователей, а значит, над распространением технологий защиты еще нужно работать.

Атаки на Интернет вещей, домашние роутеры и промышленные сетевые устройства

Что может быть общего между беспроводным пультом управления гаражной дверью и сетевым софтом Cisco? Они одинаково плохо защищены. Даже не так: если термостаты, домашние веб-камеры и маршрутизаторы защищены очень хорошо, успешная атака на них в любом случае является неожиданностью.

Стратегия защиты и у компаний, и у пользователей обычно сосредоточена на компьютерах и других устройствах, с которыми они непосредственно взаимодействуют. Все остальное представляет собой некий черный ящик, который в лучшем случае работает незаметно и не привлекает внимания, в худшем — становится орудием для взлома, неотслеживаемым и обычно непонятно как работающим.

Больше всего наших читателей заинтересовали следующие примеры. Еще в декабре 2014 года исследователи Check Point Software нашли уязвимость, затрагивающую 12 млн домашних роутеров (новость, 9-е место). Получить доступ к веб-интерфейсу можно было путем отправки специально сформированного пакета данных. В июне в защитном ПО для мониторинга сетевого трафика Cisco были найдены дефолтные SSH-ключи (новость, 8-е место), не первый и не последний случай «закладки» в сетевых устройствах и соответствующем софте.

Тогда же, в июне, исследователь Сами Камкар исследовал очень слабую защиту в системах удаленного открытия гаражных дверей, популярных в США (новость, 7-е место). Ключи к ним можно подобрать за полчаса брутфорсом, но целая серия программных просчетов позволила ему сократить время взлома до 10 секунд.

Добавим к этому уязвимости в компьютерных системах автомобилей. Этим летом благодаря работе исследователей Чарли Миллера и Криса Валасека концерн Fiat Chrysler выпустил первый в истории security-патч для автомобиля: уязвимость позволяла удаленно взламывать систему управления автомобилем через мультимедийную систему и даже перехватывать управление. Действительно, если уязвимости есть в софте, в компьютерных устройствах, в гостиничных ключах и брелках для автомобилей, почему бы им не быть в самих автомобилях? Не могу не процитировать этот показательный твит:

https://twitter.com/sherod/status/679616356250079232

Мой принтер чаще работает, чем нет, Wi-Fi глючит, но редко, Xbox обычно узнает меня, и даже Siri, бывает, работает нормально. Но моя машина с автономным управлением будет работать идеально!

Компьютеры, когда им поручено сделать что-то самостоятельно, обычно делают меньше ошибок и глупостей, чем люди. Вот только программируют их люди, и все чаще компьютерным системам на откуп отдаются весьма критичные процессы — от управления АЭС до стояния в пробке на Ленинградке. Добро пожаловать в дивный новый мир!

Шифрование

Сложная тема. Оценить эффективность того или иного метода шифрования данных возможно только в рамках серьезной научной деятельности, и то результат подчас либо не гарантируется, либо может измениться со временем. Показательный пример — алгоритм криптографического хеширования SHA-1, пять лет назад считавшийся достаточно надежным, но в 2015 году объявленный теоретически уязвимым.

АНБ поставило под сомнение стойкость алгоритмов шифрования с применением эллиптических кривых и уже задумывается (или делает вид, что задумывается, тут до конца не ясно) о шифровании, способном устоять даже перед квантовыми компьютерами.

Но этим тема шифрования не ограничивается. Крайне слабая криптография поставила под удар уже активно использующийся протокол Open Smart Grid (новость, 6-е место). OSGP — это реализация Интернета вещей для электросетей, попытка объединить счетчики и управляющие электричеством системы в единую сеть, а с электричеством лучше не шутить. Сложность темы приводит и к тому, что основным критерием к системе шифрования данных является доверие.

Случившийся еще в середине 2014-го демарш разработчиков TrueCrypt подорвал доверие к этому популярному ПО для защиты информации, и в 2015 году мы увидели сразу несколько аудитов исходного кода программы, а также появление вызвавших большой интерес спин-оффов — VeraCrypt и CipherShed (новость, 4-е место). Совсем недавно был раскрыт бэкдор в маршрутизаторах Juniper, и в этой истории тема шифрования также играет не последнюю роль.

Серьезные уязвимости и серьезные атаки

Если в прошлом году самыми резонансными прорехами в безопасности стали Shellshock и Heartbleed, то в этом внимание привлекли уязвимость Stagefright (новость, 5-е место) в Android и уязвимость в функции определения IP-адреса, являющейся частью стандартной библиотеки GLIBC в Linux-системах (новость, 3-е место).

Нестандартный топ событий в сфере IT-безопасности 2015

Исследователь уязвимостей в Linux. Художественная интерпретация

Любая уязвимость проходит через «теоретическую» и «практическую» стадии — в некоторых случаях все ограничивается исследовательским proof-of-concept, но иногда о новой дыре узнают постфактум, проанализировав уже активную атаку. В 2015 году к этим двум вариантам добавился третий: утечка данных из компании Hacking Team, специализирующейся на продаже эксплойтов госструктурам, выявила ранее неизвестную уязвимость в Adobe Flash, которая немедленно начала эксплуатироваться киберкриминалом.

Из реальных атак двумя наиболее заметными стали раскрытые исследователями «Лаборатории Касперского» операции Carbanak и The Equation. Если в первом случае больше всего впечатляла оценка ущерба (миллиард долларов!), то во втором — совершенство инструментов атаки, включая возможность восстановления контроля над компьютером жертвы с помощью модифицированной прошивки жесткого диска, а также длительность операции — десятки лет! Подробнее о февральских исследованиях — в этом посте.

Рутинные уязвимости в распространенном ПО

Таких было обнаружено очень много. Лучше всего это заметно на примере Adobe Flash: 14, 24 и 28 января, март, июнь, июль, сентябрь, декабрь. С одной стороны, это выглядит как плохие новости, с другой — латание дыр, как минимум у Adobe, ведется очень активно: уязвимости закрываются десятками за один апдейт. Нельзя сказать, что в целом софт стал безопаснее, но важной тенденцией этого года стало более серьезное отношение разработчиков к безопасности, и это не может не радовать.

Особым вниманием пользуется софт, установленный на максимальном количестве компьютеров, а на каждом ПК есть как минимум один браузер. Их разработчики вынуждены не только следить за самозащитой, но и по возможности оберегать пользователей от угроз на других сайтах (зачастую принудительно ограничивая функциональность, как это произошло с тем же Flash в Chrome). С браузерами связаны две самые популярные новости на Threatpost за 2015 год. На прошедшем в марте хакатоне pwn2own были взломаны все основные браузеры: сначала Firefox и IE, а позднее — Chrome и Safari (новость, 2-е место).

Нестандартный топ событий в сфере IT-безопасности 2015

Довольные white hat хакеры на pwn2own

Наконец, самой популярной новостью года (вполне в стиле прошлогоднего дайджеста) стала блокировка древней системы расширений NPAPI в браузере Chrome (новость, 1-е место). Апрельская блокировка NPAPI привела к неработоспособности огромного количества плагинов, от Java до Silverlight, и соответствующим проблемам у большого числа разработчиков. Отказ от legacy-кода — еще одна важная тенденция последнего времени: в определенный момент такое наследие начинает приносить больше проблем, чем пользы.

Сомневаюсь, что в 2016 году проблем с безопасностью станет меньше, скорее наоборот. Уверен, что появятся и новые методы защиты от киберугроз. В любом случае нам определенно будет что обсудить. В качестве дополнительного чтения по итогам этого года рекомендую общий обзор угроз от экспертов «Лаборатории», отдельный анализ киберугроз для бизнеса и предсказания на 2016 год.