Security Week 16 | Блог Касперського

Наша взаимовыгодная связь https://banwar.org/

Найпомітніше зміна в новинному тлі по темі інфобезпеки в порівнянні, скажімо, з осені минулого року - це бурхливі дебати навколо і близько шифрування даних. Розпочавшись з теоретичних досліджень про потенційних вразливості, наприклад, в SHA-1 , Тема набула суто практичний забарвлення в міру розвитку диспуту між Apple і ФБР, з переходом месенджера WhatsApp на повне шифрування даних і з підвищенням уваги до проблеми кріптолокеров (хоча, здавалося б, до чого тут вони?).

Кріптолокери тут, може, і справді ні до чого, але не можу не відзначити іронію положення: в одному випадку прогресивна частина суспільства ратує за повне шифрування даних, в іншому - відчуває чималу біль від того, що дані зашифрувалися без попиту і, як правило, дуже надійно. Шифрування - не панацея, якщо все інше ламається без праці. Тільки комплексний захист інформації, тільки хардкор.

Ось і на цьому тижні ФБР прозоро натякнуло , У скільки обійшовся злом того самого iPhone 5c, про який був суд з Apple. Більше $ 1 мільйона, імовірно за zero-day-уразливість, яка дозволила обійти захист пристрою.

Нагадаю, у вересні минулого року суму такого ж порядку обіцяла заплатити за вразливість компанія Zerodium. І начебто сумно якось: захищай, що не захищай - все одно зламають товстосуми. Але гарантувати 100-відсоткову безпеку даних в принципі неможливо, і по суті будь-який захист намагається лише зробити злом невиправдано дорогим. Так що в контексті історії про iPhone це хороша новина: зламати коштує дорого.

Інші компанії теж не збираються віддавати призначені для користувача дані задешево. По крайней мере, коли їм самим це не приносить прибутку, одні репутаційні витрати. Впровадити повне шифрування всіх комунікацій на цьому тижні пообіцяв Viber, вони стверджують, що зможуть бачити тільки факт комунікації між двома абонентами (тобто метадані), але не вміст.

І тільки BlackBerry продовжує захищати довільний доступ до особистої листуванні на запит органів. Ніхто особливо не проти, але підхід BlackBerry, свого часу колишній піонером захищених мобільних комунікацій, здається, застарів.

Далі: особливості злому комп'ютерів через миша на відстані і як зробити детектор кріптолокеров, який чи то працює, то ні. попередні випуски тут .

Злом комп'ютера через бездротову мишу: дослідники збільшили дальність атаки до 225 метрів

новина .

Бійці невидимого фронту з компанії Bastille Networks продовжують досліджувати вразливість, через яку поки ніхто нікого не зламав і не збирається. Ця історія почалася в лютому: саме тоді дослідники показали, як за допомогою протиприродного використання миші для набору букв і вразливостей в системі авторизації можна зламати будь-який комп'ютер на будь-якій операційній системі.

Досить авторизуватися (через дірку) на USB-приймачі як миша, без підтвердження користувача, і почати відправляти на комп'ютер символи - як клавіатура. Не треба впроваджувати в систему шкідливий код, досить його прямо в системі написати і виконати.

Круто, звичайно. Через два місяці дослідники поліпшили свій результат по дальності: використавши копійчаного устаткування (не більше $ 50 за все), вони збільшили дальність роботи з USB-приймачем до 225 метрів з початкових 100. Ніби як загроза стала в два з гаком рази небезпечніше, тоді чому « ніхто не зламав »?

Ну, якщо чесно, може, ми просто про це не знаємо: спробуй зрозумій, що сталося в такій ситуації. USB-приймачі (мова не йде про Bluetooth) - це така річ в собі, чорний ящик розміром з роз'єм. До нас в 2016 рік приїхала страшилка з найближчого майбутнього, коли таких свистків у вигляді датчиків, контролерів та іншого буде хоч греблю гати, вони будуть відповідати за наше електрику, воду і корекцію серцевого ритму, але залишаться при цьому чорними ящиками. Точніше, хочеться, щоб було якось не так, а краще і прозоріше.

Для масової кіберзлочинності подібний метод залишається складним. Припускаю, що і для організаторів націлених атак цей метод з розряду екзотики. Поки працюють прийоми простіше, який сенс влаштовувати біганину з антенами? Біда в тому, що багатьом власникам бездротових мишей залишається або поміняти модель, або терпляче чекати, коли вразливістю скористаються. Багато USB-приймачі не лікуються в принципі. Втім, до Logitech, спочатку єдиної компанії, яка закрила уразливість, нещодавно приєдналася Microsoft. І питання на засипку: це ось ми завдяки дослідникам про цю проблему дізналися, а скільки аналогічних провалів на рівному місці залишаються невідомими?

Детектор кріптолокеров для Mac OS X і проблеми сприйняття

новина .

Трояни-шифрувальники бувають різні. Вони використовують різні методи зараження, а іноді навіть покладаються на недалекоглядного користувача, який самостійно авторизує запуск вредосного скрипта. Але є у них одна спільна риса: рано чи пізно вони починають шифрувати файли.

Дослідник з компанії Synack Патрік Вардл вирішив скористатися цим очевидним недоліком шифрувальників і написав утиліту Ransomwhere. Вона спрацьовує всього на двох умовах: якщо (1) недовірених процес намагається одночасно (2) зашифрувати багато файлів, потрібно заблокувати цю дію і попросити користувача про підтвердження.

Проблем у такого підходу багато, і про більшість з них дослідник чесно повідомляє у себе в блозі . Один з небагатьох помітних троянів для Mac OS X - KeRanger - поширювався доважком до популярного клієнту Transmission, був підписаний сертифікатом розробника і, таким чином, був довіреною процесом. І це не єдиний спосіб таку утиліту обійти.

Спроба зашифрувати дані - це, по суті, одночасна робота зі зміни великої кількості файлів, але детектувати кріптолокери за цією ознакою не можна - буде дуже багато помилкових спрацьовувань. Вардл посилається на якусь математичну магію, а саме на підрахунок рівня ентропії даних, який очікуваним чином змінюється при переході файлу зі звичайного стану в зашифроване. Але така магія грунтується на інформації про типові алгоритми шифрування, і, якщо кіберзлочинець використовує інший алгоритм або оригінальну комбінацію, магія, може, і буде працювати, а може, й ні.

В общем-то до утиліти у мене претензій немає: це дослідницький проект і програма, написана фахівцем для фахівців. Проблема в тому, що ЗМІ ( наприклад , наприклад # 2) представляють це як готове рішення для захисту від всіх кріптолокеров в світовому масштабі.

Це не так. Реальний захист не може ґрунтуватися на єдиному технічному кунштюків. Концепція хороша (ми і самі її використовуємо), але в ідеалі 98% кріптолокеров взагалі не повинні проходити таку перевірку: їх потрібно блокувати на більш ранніх етапах, від кліка на підозрілий URL до завантаження шкідливого скрипта.

Що ще сталося:

Cisco Talos продовжує вивчати виявлений ними серверний кріптолокер SamSam, що використовує уразливість в JBoss. Розкопали вони, на жаль, більше 3 мільйонів потенційно уразливих серверів, включаючи сервера в школах (60 тисяч в США) і бібліотеках зі специфічним ПО. Уразливість, до речі, була запатчена шість років тому.

29% пристроїв на Android Не оновлювати досить швидко, щоб вважатися безпечними. У жовтні минулого року небезпечними порахували 85% пристроїв. Звідки така різниця? Свіжий звіт зроблений самою Google, а 85% нарахували незалежні дослідники, природно, за різними критеріями і методиками. У будь-якому випадку виходить занадто багато.

136 вразливостей закриває новий патч Oracle. З них сім - з максимальним рівнем за шкалою CVE.

Старожитності:

«Shake»

Резидентний дуже небезпечний вірус. Стандартно вражає .COM-файли поточного каталогу при виконанні функції GetDiskSpace (int 21h, ah = 36h). У заражених файлів встановлює час 60 секунд. Перехоплює і не відновлює int 24h. При старті зараженої програми з імовірністю 1/16 повідомляє: «Shake well before use». Перехоплює int 21h.

Цитата по книзі «Комп'ютерні віруси в MS-DOS» Євгена Касперського. 1992 рік. Сторінка 82.

Disclaimer: Ця колонка відображає лише приватна думка її автора. Воно може збігатися з позицією компанії «Лабораторія Касперського», а може і не збігатися. Тут уже як пощастить.