Даже если на этой неделе произойдет какой-то супермегавзлом, его никто не заметит, так как все или почти все причастные к миру информационной безопасности находятся в Лас-Вегасе, на конференции Black Hat. Одно из ключевых мероприятий индустрии традиционно собирает именно исследователей. Соответственно, конференция говорит о проблемах, но почти не обсуждает решения.
И не потому, что решений нет, просто такой формат. Интересно, что на роль конструктивного собрания о методах защиты претендует февральская RSA Conference, но и там пока наблюдается некий разрыв шаблона: через кулуары бизнес-митингов с применением терминов «митигация», «комплексная стратегия», «методика реагирования на инциденты» рано или поздно пробегает некто в худи с громким криком: «А-А-А-А-А, ВСЕ ПРОПАЛО!»
Пожалуй, это нормально: бизнес относительно IT-безопасности спозиционирован между морковкой всеобъемлющей защиты и тачанкой киберпреступности. Так и движется, мотивируемый и подгоняемый, в сторону светлого будущего безопасного инфопространства. Сегодня я позволю себе отойти от привычного формата и расскажу о некоторых интересных докладах с Black Hat. Пост не претендует на полноту, конференция еще продолжается: первое и второе уже подали, но компот долетит уже на следующей неделе.
PHP-порноуязвимость, подслушивание клавиатур и другие интересные события прошедшей недели: https://t.co/OyBA4LCTij pic.twitter.com/FNNk41FPMK
— Kaspersky (@Kaspersky_ru) August 1, 2016
tl;dr Сломали автомобили, шифрование, Android, почту, кредитки, всех обманули зараженными флешками. Интернет был сломан давно, за прошедший отчетный период не починился.
Все выпуски сериала доступны по тегу.
Нигерийский скам с поломкой почты и поддельными инвойсами
Нигерийские мошенники — это не только письма от вдовы безвременно почившего президента Бантустана. Компания Dell Secureworks рассказала на Black Hat о чуть более сложной схеме. Мошенничество начинается со взлома почтового сервера какой-либо компании, после чего начинают отслеживаться сообщения от контрагентов.
В случае если в переписке зреет сделка на крупную сумму, в определенный момент в переписку вступают мошенники — начинают пропускать сообщения от покупателя к продавцу через себя. Как правило, для этого использовался самый примитивный способ: на сломанном сервере заводили почтовый аккаунт с минимальным отличием в написании от оригинального.
В итоге покупателю подсовывается поддельный инвойс, деньги получают мошенники, после чего группа уходит в туман. Интересное наблюдение о сложности атаки: она то ли нулевая, то ли отрицательная. Отследить деятельность группы удалось благодаря ошибке одного из участников: он случайно заразил вредоносной программой сам себя.
Как выяснилось, во всей организации только один человек хоть что-то понимал в кибератаках, все остальные выполняли поденную работу — рассылали фишинг и занимались креативным гуглением. По данным ФБР, все атаки, связанные с компрометацией почты, принесли в прошлом году убыток в $3 млрд с лишним.
Кража печенек из-за плохо внедренного HTTPS
Недовнедрение HTTPS ведет к краже персональных данных, предупреждают американские исследователи. Собственно, они обнаружили на множестве сайтов, включая, например, Amazon, eBay и Target, совершенно капитанскую уязвимость. HTTPS часто внедряется либо не полностью, либо закрывает только процесс авторизации. Это хорошо, так как передавать пароли в открытом виде совсем не здорово, но передача открытым текстом любых приватных данных в наше неспокойное время тоже представляет проблему.
Собственно, при помощи распространенных снифферов трафика исследователи смогли выявить множество приватных данных в незащищенных транзакциях: почтовые адреса, список контактов, фрагменты приватной переписки и, конечно же, куки. Последнее особенно печально: кража куки в некоторых случаях помогает обойти парольную авторизацию — так, что никакой HTTPS не поможет.
Собственно, а какой процент трафика в Сети сейчас зашифрован? Исследователи ответили и на этот вопрос, запустив ноду Tor и проанализировав месячный трафик на точке выхода. Зашифрованными оказались всего 25% данных, тогда как остальные три четверти передавались открытым текстом. Владельцы сайтов были уведомлены, да и проблема потихоньку решается благодаря концепциям HTTPS Everywhere и HSTS.
А пока решаем эту проблему, можно задуматься над следующей: деанонимизировать пользователей можно и по поведению. В тему к этому недавнее обсуждение о возможности использования капчи Cloudflare для идентификации пользователей Tor.
В Google сравнивают Stagefright с миссией «Аполлон-13»
Прошлогодняя Black Hat отметилась исследованием по серьезной уязвимости Stagefright в Android. В этом году Google говорит о том, как эта уязвимость повлияла на методы разработки в компании, сравнивая обнаружение дыры с миссией «Аполлон-13» — это когда у американцев по пути на Луну все сломалось, но они героически починили что смогли и вернулись (ну если кто не в курсе).
Google решила защитить свой домен при помощи HSTS, чтобы мы с вами не ходили по всяким небезопасным HTTP: https://t.co/d0oPi8woqZ
— Kaspersky (@Kaspersky_ru) August 4, 2016
В одном из немногих позитивных выступлений Ник Кралевич, глава команды Android Platform Security, сказал очень важную вещь. Когда ломают — это, в общем-то, хорошо, если уязвимости вовремя чинятся, а опыт используется в дальнейшем для разработки более безопасного софта. Это лучше, чем полное отсутствие сообщений о дырах в каком-то софте.
Впрочем, внедрять безопасный подход нужно не только в разработку, но и в бизнес-модель, а вот с этим в Android проблемы. Но есть интересный момент: после того как независимый исследователь обнаружил несколько сотен приложений, передававших данные (предположительно к своим серверам) открытым текстом, Google внедрила систему проверки, которая такие небезопасные приложения просто отключает, до перевоспитания.
Новые автооткровения от исследователей Криса Валасека и Чарли Миллера
В прошлом году это тоже была новость номер один: исследователи Миллер и Валасек обнаружили способ перехвата управления автомобилем удаленно, с помощью уязвимости в мультимедийной системе. В этом году эксперты поделились новыми находками, но объявили, что автодырами отныне больше заниматься не будут (все нашли?). На Black Hat были показаны результаты исследования того же автомобиля (собственного Jeep Cherokee исследователей), что и в прошлом году.
Они смогли перехватить управление рулевым колесом и ручным тормозом, в последнем случае нашли способ заблокировать его на длительный срок — так, что снять машину с ручника можно было только после перепрошивки. Все благодаря подмене кода блока электронного управления. Для манипуляций рулем во время движения удалось заставить блок работать в диагностическом режиме — он и предусматривал резкие несанкционированные повороты.
Ужасно? Не совсем. Это офлайновая атака, для которой нужно подключиться к диагностическому разъему. Никакого Wi-Fi (и то хорошо). Решение проблемы есть: нужна IDS-система или хотя бы верификация кода. Беда в том, что в автоиндустрии производственный цикл длится годами и десятилетиями и так просто апдейт накатить не получится.
Впрочем, пока все неплохо. Такие находки — это тревожный звонок из будущего, где все машины ездят на автопилоте. Ну, то самое будущее, которое то ли наступит внезапно совсем скоро, то ли уже наступило.
Коротко:
Интересный эксперимент провели в кампусе Университета штата Иллинойс. Исследователи разбросали по территории почти 300 флешек, на каждую поместили несколько HTML-файлов — если кто-то их открывал в браузере, этот факт фиксировался в серверных логах. Очень просто, и никаких зловредов.
48% флешек кто-то подобрал и даже исследовал. В среднем от «потери» до срабатывания капкана на любопытных Варварах проходило семь часов, а пятая часть подобранных флешек исследовалась в течение часа. В общем, уязвимость была обнаружена примерно в половине людей, и апдейтов не будет.
Интересная, но очень уж засекреченная презентация новых методов кражи данных кредиток. В том числе за счет перехвата информации от уязвимой клавиатуры для набора PIN-кода.
На конференции Black Hat показали как можно обойти защиту банковских карт с чипом: https://t.co/xlUJN1jTB0 pic.twitter.com/9resrg7ySi
— Kaspersky (@Kaspersky_ru) August 5, 2016
В ключевой презентации Black Hat Дэн Камински вновь признал, что Интернет сломан, и призвал совместно работать над повышением безопасности. По его мнению, попытка создать защищенный безопасный анклав посреди бардака (приведен в пример провайдер AOL, хотя сейчас это скорее открытка Apple) обречена на провал. Не нужно рассматривать рынок безопасности как гонку за лидерство. На мой взгляд, от гонки все равно не получится избавиться, но можно как-то направлять ее в позитивное русло.
«Лаборатория» объявила на Black Hat о запуске собственной программы Bug Bounty. Двумя днями позже свою программу анонсировала Apple. У них программа пока полузакрытая — мы этот этап закончили весной этого года. Но в любом случае это очень хорошие новости.
Если вы умеете искать баги в софте, то их можно поискать в нашем и получить за это деньги: https://t.co/cO8MhPkeii pic.twitter.com/qwod4VoWXG
— Kaspersky (@Kaspersky_ru) August 5, 2016
Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.