Security Week 15: Badlock не впечатлил, больше криптолокеров, еще одна уязвимость в iMessage

В этом выпуске Константин Гончаров размышляет над вероятностью цифрового апокалиписиса, а также рассказывает про то, что не так страшен Badlock, как его малюют, что шифровальщики учатся у вирусов, и что кроссплатформенность вредит мессенджерам

Security Week 15: Badlock не впечатлил, больше криптолокеров, еще одна уязвимость в iMessage

Предположим, что апокалипсиса не будет. Неверный подход к безопасности новых устройств и софта не приведет к массовому выходу компьютерных систем из строя: Пасьянс «Офис» не упадет, светофоры не погаснут, машины с автопилотом без проблем довезут людей до дома. Это не значит, что можно кодить безответственно: никто ведь не умрет?

Потрясающую историю на прошлой неделе раскопала редактор издания Fusion Кашмир Хилл. В 2002 году компания MaxMind разрабатывала новый сервис, позволяющий примерно определить координаты сетевого адресата по IP. В процессе разработки понадобилось ввести дефолтные координаты. Дело не в том, что это требовалось клиентам. В статье этот момент не раскрывается, но вполне можно представить, что так решил один из разработчиков, потому что все так делают и это удобно. Чтобы система не падала от пустой переменной и не происходило деление на ноль.

В константу забили округленные (38.0000,-97.0000) координаты географического центра США — и в общем-то быстро забыли про этот рутинный эпизод. А к жителям дома рядом с городком Потвин в штате Канзас через некоторое время начали приходить странные люди. Приезжали скорые. Приходили агенты ФБР в форме и в штатском. Налоговики. Коллекторы. Звонили разъяренные владельцы сайтов, которым приходил спам, и требовали прекратить сейчас же. Кто-то даже угрожал, а на аллее возле дома ночью поставили разбитый унитаз.

Пожилой владелице дома и арендаторам не повезло оказаться в округленном до градусов центре страны. Все адреса, координаты которых компании MaxMind не удалось определить, указывали на дом в Канзасе, всего более 6 миллионов IP. Кашмир Хилл связалась с MaxMind, и там были очень удивлены. Компания ведь всегда говорила, что координаты дает примерные и они не должны использоваться для идентификации конкретных адресов и домов. Проблема в том, что абсолютно все, вплоть до медиков и ФБР, именно так их используют.

Так вот, предположим, что апокалипсиса не будет. И очень хорошо, что так. Но технологии все больше влияют на нашу реальную жизнь, иногда самым непредсказуемым образом. Ошибки и уязвимости в софте и железе не всегда приводят к трагедиям (хотя иногда все-таки приводят). Безответственная разработка медленно и почти незаметно снижает качество нашей жизни. И чем дальше мы будем идти от точки «теперь питание компьютера можно отключить» к постоянному пребыванию в сетевой среде, тем больше будет новых возможностей, а вместе с ними — и проблем.

Для московских IP, кстати, та же база дает координаты Кремля. А в географическом центре России никто не живет. Перейдем к новостям недели. Предыдущие выпуски тут.

Анонсированная заранее уязвимость Badlock в Windows и Samba не так страшна, как ее маркетинговая кампания

Новость. Changelog Samba. Advisory Microsoft.

В предыдущих сериях я дважды упоминал эту историю — исключительно благодаря форме подачи: исследователи из компании SerNet подошли к проблеме донесения информации о софтверном баге до широких масс весьма ответственно. А именно сделали мини-сайт, придумали название и логотип, опубликовали все, кроме информации о собственно уязвимостях, за три недели до выхода патчей.

Доводы за и против такого подхода я приводил в прошлом выпуске, повторяться не буду. 12 апреля вышел патч Microsoft, закрывающий уязвимость в реализации протокола SMB в Windows, появились патчи для опенсорсной «Самба» — и наконец-то все узнали, в чем беда.

Security Week 15: Badlock не впечатлил, больше криптолокеров, еще одна уязвимость в iMessage

Короче, выяснилось, что не все так плохо. Даже не так: достаточно серьезная уязвимость слегка пострадала от маркетинговой активности. Или нет? Мое мнение: пиара много не бывает. Можно его любить или не любить, но на техническую сторону данной истории он никак не влияет. Итак, Badlock — это комбинация уязвимостей, которые позволяют получить доступ к данным с некоторыми оговорками: в системе (Windows или Samba, не важно) работает Active Directory, и атакующий уже находится в позиции man-in-the-middle. Это не уязвимости класса Remote Execution, они позволяют манипулировать только вызовами внутри протокола SMB и в худшем случае могут вызвать отказ в обслуживании.

Патчить надо, но эксперты, признавая опасность обнаруженных уязвимостей, не видят в них чего-то такого особенного: закрытая тем же патчем RCE-дыра в Internet Explorer, с точки зрения админов, может быть столь же серьезной.

Лично мне было бы интересно узнать детали истории и попытаться понять, как схожие баги оказались и в Windows, и в опенсорсной Samba, но об этом исследователи-первооткрыватели не говорят (на что могут быть причины) и вообще предпочитают поменьше общаться со СМИ (а вот это в контексте заранее накрытой поляны публичности непонятно). В любом случае единой шкалы опасности угроз в индустрии нет, создать ее очень сложно, а жаль. Операторам IT-систем такая штука могла быть полезна.

Криптолокер с червячным приводом: вымогатели протирают от пыли древние вирусные приемы и от этого становятся опаснее. Или не становятся

Новость.

Ту часть истории, в которой есть собственно новость, я упомянул в позапрошлом дайджесте. Специалисты компании Cisco Talos обнаружили криптолокер SamSam, который таргетирует серверы, а не пользователей-сотрудников и использует серверные уязвимости (конкретно в ПО JBoss).

На этой неделе Cisco Talos выпустила отчет, в котором спроецировала свою недавнюю находку на возможные сценарии развития, кхм, индустрии кибервымогательства. Получилось страшновато: если учесть, что другие трояны используют довольно древние методы распространения (например, макросы в офисных документах), то не столкнемся ли мы в один прекрасный момент с эпидемией вымогательства, сравнимой по масштабам с эпидемиями червей а-ля Conficker или Slammer?

Напомню, Conficker и Slammer — это выдающиеся экспонаты из начала 2000-х, главной особенностью которых были механизмы самораспространения. Действительно, сейчас такая методика в криптолокерах не применяется. А если начнет применяться? Сейчас киберпреступникам приходится выполнять засев, тратить на него силы, время и деньги (сотрудничая с владельцами эксплойт-паков, например), а если они переложат эту «обязанность» на жертв? Получится же форменный АПОКАЛИПСИС-ПОКАЙТЕСЬ-ГРЕШНИКИ-ИБО-ГРЯДЕТ-ВСЕМИРНОЕ-ВЫМОГАТЕЛЬСТВО!!!

Security Week 15: Badlock не впечатлил, больше криптолокеров, еще одна уязвимость в iMessage

Э-э-э, нет. Времена уже не те, и, чтобы лучше понимать феномен криптолокеров, надо оценивать его в контексте бизнеса. Вымогатели прежде всего зарабатывают деньги. Если вымогатели начинают тратить время на оригинальные технологии, деньги они перестают зарабатывать. Именно поэтому упомянутые мною две недели назад трояны Petya и SamSam технически оригинальны, но практически распространены очень мало. А зачем напрягаться, если можно получить выкуп, используя самые примитивные трояны на батниках?

Кроме того, возможности киберкриминала хоть и широки, но не безграничны, и, если была бы возможность распространения любого вредоносного ПО по сценарию эпидемии, ею давно бы уже воспользовались. Про апокалипсис я уже высказался в начале сегодняшнего выпуска: он не обязательно грядет, и дело вообще не в нем. Так что у Cisco Talos получилось так же, как у SerNet с Badlock: криптолокеры — это действительно актуальная и очень опасная тема. Но не ужас-ужас. Работающие технологии защиты от вымогателей тоже есть, главный вопрос во внедрении.

В iMessage нашли еще одну уязвимость, но уже починили

Новость. Исследование компании Bishopfox.

В начале марта Apple выпустила обновление для iOS до версии 9.3, которое не только ломало браузер Safari, но и закрывало серьезную брешь в криптозащите мессенджера iMessage. В свете тогда еще продолжавшегося диспута между Apple и ФБР это было важное дополнение.

Получить доступ к чужой переписке, если совсем простыми словами, можно двумя способами: либо перехватив данные по пути, либо забрав их с конечного устройства. Прогресс в области шифрования переписки у Apple и, например, WhatsApp и других делает перехват «в пути» весьма трудоемким, поэтому вопросы доступа к переписке на устройстве приобретают особую, я бы сказал стратегическую, важность.

Proof of concept на видео:

Новая уязвимость в Mac OS X El Capitan, закрытая обновлением 10.11.4, как раз дает возможность перехвата данных на конечном устройстве. Исследователи из группы Bishopfox обнаружили, по сути, дыру типа cross-site-scripting: есть возможность от имени клиента запрашивать данные с сервера Apple (например, историю переписки). Достаточно прислать пользователю специальным образом сформированный JavaScript URI и заставить его кликнуть. История хорошо показывает, как кросс-платформенность мессенджеров нового поколения постепенно становится для разработчиков головной болью. В данном случае с чатом на iOS проблем не было, а вот за компьютерами недоглядели. Интересно, что разработчики изначально «копали» в сторону другого мессенджера и совершенно случайно обнаружили, что разработанный ими proof of concept работает и в iMessage тоже.

Security Week 12: ФБР взломает айфон без помощи Apple, криптодыра в iMessage, шифровальщики в больнице

Древности:

Семейство «Sistor»

Неопасные резидентные вирусы. Стандартно заражают .COM- и .EXE-файлы. Запускают (кроме «Sistor-1000») «скачущий» по экрану шарик, который отражается от символов и границ экрана. При попадании шарика в знаки текста или псевдографики они (знаки) «падают» вниз. Перехватывают int 1Ch, 21h. Содержат текст: «Sistor» («Sistor-1000», дополнительно — «Sistor & Co Present»).

Цитата по книге «Компьютерные вирусы в MS-DOS» Евгения Касперского. 1992 год. Страница 45.

Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.

Советы