Security Week 14: опасная уязвимость в Adobe Flash, WhatsApp включает шифрование, Пентагон платит за баги

В этом выпуске Константин Гончаров делится своими соображениями по поводу утечки в Mossac Fonescka и шифровании в WhatsApp, а также рассказывает про попытки Пентагона подружиться с исследователями и – куда же без этого – объясняет очередную уязвимость в Flash

Security Week 14: опасная уязвимость в Adobe Flash, WhatsApp включает шифрование, Пентагон платит за баги

Security Week 14: опасная уязвимость в Adobe Flash, WhatsApp включает шифрование, Пентагон платит за багиИстория о споре между Apple и ФБР показала нам, как политика может повлиять на технологии. На этой неделе все обсуждают обратный пример — тему об утечке данных из панамской юридической фирмы Mossack Fonseca.

Не касаясь политической стороны этого события, не могу не отметить важный момент: резонансная история, скорее всего, началась с кибератаки и кражи данных. Об этом говорят в самой компании, и есть косвенные доказательства того, что взломать инфраструктуру фирмы было не так уж сложно. В частности, внешний доступ к документам клиентов работал на версии Drupal трехлетней давности как минимум с двумя критическими уязвимостями (впрочем, достаточно было одной — этой).

Как все произошло на самом деле, мы вряд ли когда-нибудь узнаем. В индустрии ИБ вообще очень сложно учиться на чужих ошибках: делиться негативным опытом компании, по понятным причинам, не любят. Но можно сделать общие выводы, а именно:

  • Не бывает неважных корпоративных данных. Не исключено, что в Mossack Fonseca даже не подозревали, какой резонанс могут вызвать хранящиеся у них документы. Это приводит к недооценке рисков и неадекватным затратам на защиту.
  • Шифрование данных — это эффективная мера. Об этом говорит иная часть данной истории: десятки журналистов по всему миру анализировали полученные документы больше года, используя облачные системы и различные формы передачи данных в зашифрованном виде (начиная с VeraCrypt, форка TrueCrypt для шифрования жестких дисков). За это время не произошло ни одной утечки, несмотря на огромное количество участников проекта и отсутствие серьезных обязательств между ними.
  • Объем утечки превышает 2,5 терабайта. Нужна система, которая поможет компаниям фиксировать такие события. Не важно, по какой причине с серверов компании утекает огромный объем данных, — специалист по безопасности должен об этом знать.

А теперь перейдем к традиционным новостям. Все выпуски дайджеста доступны по тегу.

Adobe закрывает критическую уязвимость во Flash, которая уже используется для распространения криптолокеров

Новость. Advisory.

Очередных, внеочередных и прочих патчей для Adobe Flash за последнее время было так много, что очередной апдейт вряд ли удостоился бы внимания, если бы не активное использование критической уязвимости. До того как апдейт был выпущен. Не так уж часто киберпреступники получают информацию о свежих уязвимостях до того, как они закрываются. Это им, впрочем, не мешает заражать пользователей незащищенных ПК и после патча, так как не всегда и не везде софт обновляется вовремя.

Как выяснилось в четверг, критическая уязвимость Adobe Flash затрагивала версии для всех платформ, вызывала сбой в работе плагина и могла привести к выполнению произвольного кода. Уязвимость использовали в эксплойт-паках Magnitude и Nuclear для распространения криптолокеров Cerber и Locky.

Locky — это тот самый троян-шифровальщик, который недавно наделал шума после инцидента с заражением медицинских учреждений. Уверен, что данное событие послужит еще одним аргументом в пользу полного и окончательного отказа от Flash — ведь получается, что, даже устанавливая самые последние апдейты, нельзя быть уверенным в безопасности системы.

Но оказывается, что своевременный апдейт все же помогает и в этом случае. Проанализировав эксплойт-пак, эксперт компании Proofpoint заметил, что он таргетирует пользователей совсем старых версий Flash. Новый эксплойт, который какое-то время (минимум три дня до патча) мог успешно атаковать даже самые свежие релизы плагина, почему-то использовался только для устаревших версий. Судя по всему, создатели эксплойт-пака не до конца поняли, что именно попало им в руки.

WhatsApp внедрил сквозное шифрование сообщений для всех пользователей

Новость. Пост в блоге WhatsApp.

Создатели мессенджера WhatsApp в последней версии клиента для всех мобильных платформ включили полное сквозное шифрование сообщений. Причем это касается всех видов передаваемых данных: в личных и групповых чатах, текст и картинки, для голосовых сообщений и звонков. Для шифрования используется открытый протокол Signal.

Если шифрование реализовано корректно и оно действительно сквозное, то по идее прочитать сообщения можете только вы и ваш собеседник (или собеседники). Именно это в WhatsApp и обещают. Именно поэтому данное событие называют куда более важным, чем спор между Apple и ФБР: сотни миллионов пользователей на этой неделе получили бесплатный, надежный и защищенный канал связи.

Security Week 14: опасная уязвимость в Adobe Flash, WhatsApp включает шифрование, Пентагон платит за баги

Или нет? Мы собрали комментарии экспертов в этой новости. В частности, протокол может быть идеальным, но в конечном счете за реальную защиту данных отвечает владелец системы, то есть в данном случае Facebook. По мнению независимого эксперта Джонатана Здярски, приватность и сам Facebook — вещи малосовместимые. Уверен, что так думает не только он.

Более аргументированный довод: даже если сообщения будет невозможно расшифровать, метаданные (IP-адреса и другая информация) все равно раскрывают слишком многое, чтобы можно было говорить о полной приватности или анонимности. Наконец, зашифрованная передача данных не отменяет уязвимости информации на конечном устройстве.

Впрочем, это мы уже проходили недавно — с кейсом о взломе телефона Apple. Уверен, довольно скоро дебаты на тему конфликта между приватностью и необходимостью отслеживать коммуникации, — конечно же, с благой целью (но и не только) — будут продолжены. И обсуждать на них будут как устройства, так и протоколы и сети: две ключевые точки перехвата информации.

Про абсолютную приватность недавно высказался глава ФБР — читайте в этой новости. Если коротко, то он против.

Пентагон открывает собственную программу Bug Bounty — Hack The Pentagon

Новость.

Как взломать Пентагон и получить за это деньги. ОК, не совсем так. Программы Bug Bounty прежде всего направлены на то, чтобы формализовать общение между исследователями и вендорами, дать возможность первым получать вознаграждение за свою работу, а вторым — своевременную информацию об уязвимостях в софте, железе или инфраструктуре.

За последние полгода мы не раз обсуждали примеры, когда в этом общении что-то идет не так: и уязвимости раскрываются до появления патчей, и вендоры пытаются наезжать на исследователей. Тем не менее организация собственной программы мало того что у госструктуры, так еще и у военного ведомства — это серьезный прогресс и весьма позитивная новость.

Security Week 14: опасная уязвимость в Adobe Flash, WhatsApp включает шифрование, Пентагон платит за баги

Программа реализована на платформе компании HackerOne, предоставляющей инфраструктуру для работы с исследователями. Впрочем, прогресс прогрессом, но без особенностей не обошлось. Предъявлять определенные требования к найденным уязвимостям — это вполне нормально, но Пентагон довольно серьезно фильтрует и самих исследователей. Нужно иметь гражданство США, а особым счастливчикам еще придется пройти security check, включая проверку на наличие судимостей. Отказаться от проверки можно, но и премию тогда не выплатят, даже если исследование будет соответствовать всем правилам.

Что еще произошло:

На Филиппинах украли базу данных избирателей, 55 миллионов записей.

ФБР в рамках судебного разбирательства попросили рассказать, как именно они взламывают коммуникации в сети Tor. ФБР вежливо ответило отказом.

Опасная уязвимость в сетевых экранах Cisco.

Security Week 12: ФБР взломает айфон без помощи Apple, криптодыра в iMessage, шифровальщики в больнице

Древности:

Семейство «Protect»

Опасные резидентные вирусы, стандартно поражают COM- и EXE-файлы при их запуске на выполнение. Перехватывают int 21h и int 1Ch или int 33h в зависимости от версии. Содержат текст: «File protection». «Protect-1157» снимает атрибуты файлов и блокирует работу мыши. «Protect-1355» проявляется на EGA- и VGA-мониторах мелким и очень противным дрожанием экрана.

Цитата по книге «Компьютерные вирусы в MS-DOS» Евгения Касперского. 1992 год. Страницa 44.

Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.

Советы