Security Week 12: ФБР взломает айфон без помощи Apple, криптодыра в iMessage, шифровальщики в больнице

В этом выпуске Константин Гончаров рассказывает про таинственную третью сторону в деле Apple и ФБР, объясняет дыру в крпитозащите iMessage и размышляет о том, каким должен быть искусственный интеллект

Security Week 12: ФБР взломает айфон без помощи Apple, криптодыра в iMessage, шифровальщики в больнице

Security Week 12: ФБР взломает айфон без помощи Apple, криптодыра в iMessage, шифровальщики в больнице

Прежде чем перейти к новостям, поговорим о физиках и лириках о маркетинге уязвимостей. Этот относительно новый термин родился пару лет назад, с появлением Heartbleed — первой уязвимости, получившей собственное имя, логотип и рекламный ролик. Нельзя сказать, что все восприняли такое нововведение позитивно: дескать, компании или эксперты, обнаружившие дыру, вместо сурового технического языка используют язык рекламы и таким образом наживаются на беде.

Не могу с этим согласиться. Хотя определенный момент рекламы тут есть (а где его нет?), попытки объяснить простыми словами (или даже образами) сложные технические вещи, о которых важно знать и неспециалистам, должны только приветствоваться.

Данная тема получила свое развитие на этой неделе, когда появилась, нет, не информация об уязвимости, а анонс уязвимости. Специалисты компании SerNet, в команде которой есть разработчики протокола SMB (точнее, свободной его реализации Samba), объявили о серьезной уязвимости в нем. Затронута как Linux-реализация протокола, так и собственно Windows. Но детали раскрывать не стали: информация будет раскрыта только 12 апреля.

Почему сделали именно так? Авторы исследования считают, что так у потенциальных жертв атаки будет возможность подготовиться. Довольно спорное утверждение: критики данной идеи утверждают, что таким образом исследователи могли дать фору атакующим, если последние догадаются о характере уязвимости — хотя бы из названия мини-сайта (Badlock). Стоило ли так делать — узнаем через две недели, во всех файловых шарах Интернета.

А теперь к новостям. Предыдущие выпуски дайджеста тут.

ФБР попросило отложить судебные прения с Apple и попробует взломать iPhone без помощи производителя

Новость.

В понедельник Apple представляла новые устройства, и в самом начале мероприятия глава компании Тим Кук поговорил о требованиях ФБР помочь со взломом iPhone 5c, принадлежавшего террористу (краткое содержание предыдущих серий — в этом материале). Предвосхищая запланированное на следующий день после презентации судебное заседание, Кук дал понять, что отступать или сдаваться компания не собирается. И не пришлось. ФБР попросило перенести слушания в связи с тем, что появилась возможность решить проблему (то есть разблокировать или другим образом получить информацию с айфона) без помощи производителя.

В общем-то среди специалистов довольно популярно мнение, что ФБР могло бы вытащить данные из телефона самостоятельно, а требования к Apple — это попытка ослабить криптозащиту телефонов в целом. Как бы то ни было, до 5 апреля новостей с фронта борьбы Apple с ФБР не ожидается — именно к этому сроку следователи должны понять, работает ли «альтернативный» метод. Что за метод? Непонятно. Есть конспиративная версия, что помочь ФБР решило Агентство национальной безопасности — и подкинуло из запасников какой-то эксплойт для уязвимости в телефоне.

Два дня назад, как обычно, со ссылкой на неназванные источники агентство Reuters написало, что взломом займется израильская компания Cellebrite. Достаточно старый iPhone 5c находится в списке устройств, «поддерживаемых» этой компанией. Новых iPhone 6s там, кстати, нет. И это такой милый нюанс всей этой истории: помимо всего прочего она дает много информации по выбору телефона и его настройке для тех, кто всерьез озабочен защитой своей информации. Перечислим основные и очевидные позиции: только самый свежий айфон (не реклама), длинный PIN-код, а лучше символьный пароль на разблокировку, неиспользование iCloud.

iOS 9.3 закрывает серьезную брешь в криптозащите iMessage

Новость. Исследование.

Представленная в понедельник новая версия «яблочной» операционной системы для мобильных устройств добавляет специальный «ночной» режим для быстрого засыпания, но это не самое важное обновление. Самым важным стал патч для уязвимости в системе обмена сообщениями iMessage, которая многим пользователям i-устройств заменила традиционные SMS. Данные, передаваемые через систему, шифруются, но, как выяснили исследователи из Университета Джона Хопкинса, защита недостаточно хороша. В результате при выполнении ряда условий атакующий может получить историю переписки жертвы.

Security Week 12: ФБР взломает айфон без помощи Apple, криптодыра в iMessage, шифровальщики в больнице

Механизм шифрования сообщений в iMessage. Исследование стало возможным в том числе потому, что Apple публично рассказывает о методах шифрования, что позволяет независимым исследователям анализировать их надежность.

Условия достаточно строгие: нужно либо организовать (сложный) вариант атаки man-in-the-middle, либо получить прямой доступ к серверам Apple, например (привет новости выше), по судебному запросу. Один из методов использует механизм передачи через iMessage вложенных файлов — они в зашифрованном виде сохраняются на сервере Apple, а получателю присылается особый URL. Используя эту особенность, атакующий может попытаться реконструировать ключ, последовательно отправляя на устройство жертвы слегка модифицированные URL для загрузки вложений.

Сделать это необходимо примерно 130 тысяч раз, но, так как устройство жертвы не реагирует на такие запросы заметным для владельца образом, атака теоретически возможна. Как обычно, исследование представляет собой сложнейший матан, а методы атаки включают регистрацию доменов, похожих на icloud.com (и не одного, а множества), использование особенностей сжатия файлов и многое другое.

Главное — атакующий не сможет получить доступ к данным на смартфоне, но сможет посмотреть историю сообщений, которая хранится на сервере до 30 дней. Или не сможет — зависит от того, обновили ли вы устройство до последней версии iOS.

Еще одна американская больница стала жертвой вымогателя-шифровальщика

Новость.

Совсем недавно мы писали о том, как троян-вымогатель атаковал голливудскую больницу. В том случае из-за угрозы потери важных данных организация заплатила приличный выкуп — $17 тысяч. На этой неделе аналогичная проблема возникла у госпиталя в штате Кентукки.

Хитроумный шифровальщик «Локи» грабит госпитали США

Как сообщается в анализе эксперта по безопасности Брайана Кребса, метод атаки не блистал оригинальностью. Сотруднику больницы пришел спам с зараженным вложением. Заражение с одного компьютера распространилось по всей сети, очевидно, через общие папки. В результате на сайте больницы появилось сообщение об «экстренной ситуации в связи с заражением компьютерным вирусом».

Вирус, точнее, троян называется Locky и использует уже подзабытый способ заражения компьютера с помощью вредоносных макросов в офисных документах. В отличие от предыдущей атаки на больницу, сотрудники госпиталя в Кентукки платить выкуп не стали, хотя запрашиваемая сумма была меньше — 4 биткойна, или $1600. Детали заражения позволяют наметить и направление защиты.

И речь здесь идет не только о проактивной блокировке вредоносной программы с помощью защитного решения. Неплохо было бы сделать так, чтобы: а) сотрудник не открывал спам с подозрительным вложением; б) даже в случае заражения троян не распространялся стремительно по сети без всякого сопротивления. Первое достигается с помощью тренингов по безопасности, второе — с помощью грамотной организации доступа к общим документам.

Что еще произошло:

Интересная новость не из мира безопасности. Исследовательское подразделение Microsoft Research два дня назад запустило чат-бота по имени Tay. С помощью некоей системы искусственного интеллекта Tay могла общаться с пользователями в «Твиттере» (публично или с помощью прямых сообщений), постепенно обучаясь в ходе такого общения. Через два дня робота пришлось выключить, так как (кто бы мог подумать!) пользователи сети научили робота плохому.

Microsoft сделала официальное заявление, в котором сослалась на некую «координированную попытку некорректного использования возможности Tay комментировать сообщения». В переводе на нормальный язык это звучит примерно так: «Это Интернет, детка, и ты была к нему не готова». Комментаторы истории наперебой сожалеют о том, что Интернет полон ненависти, считая, что вины робота тут нет.

Security Week 12: ФБР взломает айфон без помощи Apple, криптодыра в iMessage, шифровальщики в больнице

Не соглашусь. Исследователи Microsoft действительно наделили робота возможностью воспринимать неструктурированный поток информации и осмысленно реагировать на него. Это действительно здорово. А чтобы подобные провалы не происходили, искусственный интеллект должен отличать «хорошее от плохого». Это такая очень относительная штука — по сути мы говорим о наделении робота собственной позицией по широкому спектру вопросов.

В общем, возвращаясь к теме безопасности, не верьте, если кто-то продает вам чудо-защиту, состоящую только из «интеллектуальных алгоритмов». Работать не будет по той же причине: в безопасности нужно не только понимать, что происходит, но и уметь оценивать события правильно.

Security Week 12: ФБР взломает айфон без помощи Apple, криптодыра в iMessage, шифровальщики в больнице

Древности:

Семейство Taiwan

Семейство нерезидентных очень опасных вирусов. Обходят подкаталоги и записываются в начало .COM-файлов. При заражении файлов блокируют клавиатуру (видимо, действие, направленное против резидентных антивирусных мониторов). Если ни один .COM-файл не найден, то вирусы Taiwan могут стереть часть секторов текущего диска и после этого сообщают: «Greetings from National Central University. Is today sunny?»

Помимо этой содержат строку «*.com».

Цитата по книге «Компьютерные вирусы в MS-DOS» Евгения Касперского. 1992 год. Страницa 47.

Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.

Восход Триады: мобильные вредоносные программы усложняются

В конце февраля «Лаборатория Касперского» сообщила о появлении одной из самых опасных среди ориентированных на Android вредоносных программ под названием Acecard; и вот уже и новое открытие: сложный, скрытный и

Советы