Security Week 41: цензура досліджень, злом Outlook Web Access, втрати даних на стиках

Сьогодні — спеціальний корпоративний випуск нашого дайджесту, в якому ми поговоримо про такі речі як ROI, EBITDA, TCO, РСБУ, CRM, SLA, NDA, GAAP, і т. д. Втім, ні, поговоримо, як завжди, про найбільш значущих новинах безпеки за тиждень. Вийшло так, що всі три так чи інакше відносяться до корпоративної безпеки: показують, як компанії зламують, як витікають дані, і як на це реагує. У чому взагалі основна відмінність між «користувача» безпекою та корпоративної? По-перше, якщо користувачам доступні відносно прості захисні рішення або методи, то для бізнесу простих рішень не буває — хоча б із-за того, що інфраструктура значно складніше. По-друге, щоб ефективно захистити компанію, потрібні не тільки складні технології, але й певні організаційні рішення.

А як взагалі йдуть справи з безпекою у бізнесу? Скажімо так, не дуже добре. Наприклад, Gartner считает, що через три роки на безпеку буде витрачатися до 30% ІТ-бюджету, і що поширений підхід компаній «тримати і не пущать» застарів. У сенсі, зараз типова компанія 90% зусиль пускає на оборону периметра, і лише 10% — на виявлення і реагування. Якщо атакуючому вдалося пробити захист, далі він виявляється в досить сприятливому для нього середовищі, з неприємними наслідками для жертви. Рекомендація Gartner щодо зміни цього співвідношення до 60/40 виглядає цілком розумною. Наприклад, з нашого дослідження Carbanak, атаки на банківські організації, зрозуміло, що в цій самій «зоні 10%» атакуючі перебували дуже довго.

Попередні дайджести новин ви можете знайти на тут.

Outlook Web App як точка проникнення в корпоративну інфраструктуру
Новость. Исследование компанії Cybereason. Реакция Microsoft.

Якщо зламати один з комп'ютерів компанії, встановити на нього «жучка» та організувати передачу даних, що вийде вкрасти? З ноутбука співробітника — робочі матеріали цього співробітника, і можливо іншу інформацію з файлових серверів, до яких він має доступ. Справа піде «ефективніше», якщо це комп'ютер керівника або адміністратора з широкими правами доступу. Доступ до поштового сервера теоретично може поставити під загрозу величезний обсяг даних, який так чи інакше проходить через пошту. У дослідженні компанії Cybereason показано, що однією тільки поштою справа може не обмежитися.

Як це часто буває, будь-якої конкретної уразливість в Outlook Web App (також відомий як Web Access, Exchange Web Connect і Outlook on the web — за 20 років існування продукту Microsoft переименовывала його чотири рази) в даному випадку не було. Вкрали (швидше за все фішингом) логін і пароль адміністратора, впровадили на сервер шкідливу DLL (причому непідписану). Отримали в результаті доступ не тільки до пошти, але і до Active Directory. Зломщики могли відправити лист від імені будь-якого співробітника компанії. Більш того, ще одна закладка була впроваджена в сервер IIS для моніторингу підключень до веб-пошти і судячи за результатами розслідування, за тим, хто і коли (і звідки) заходить в пошту, стежили дуже пильно. Основна претензія дослідників до OWA полягає в тому, що на сервері вдалося без проблем запустити непідписаний бінарники, але в Microsoft говорять, що на правильна конфігурація робить таку атаку неможливою.

Може бути і так, але це вже деталі. Якщо відволіктися від них, то ми маємо:
— Сервіс, за визначенням має доступ до інтернету, і до внутрішньої мережі.
— Недотримання IT-спеціалістом техніки безпеки (вкрали логін і пароль, і явно не у користувача).
— Некоректна конфігурація сервера, дозволила встановити бекдор без особливих проблем.
— Неможливість виявити злом протягом тривалого часу.


А адже тільки патч хотів накотити...

Тобто цілий набір проблем, кожну з яких потрібно вирішувати окремо. Цікаво, що цінність даних Active Directory як правило не викликає сумнівів, і захищають цей сервіс надійно (хоча є приклади і такого вектора атаки). Однак завжди може знайтися менш очевидний спосіб доступу до цінної інформації, через найслабша ланка.

У T-Mobile вкрали дані 15 мільйонів абонентів через підрядника
Новость. Disclosure від Experian, жертви атаки. Звернення до клієнтів T-Mobile.

Почнемо з невеликого ліричного відступу. У США більшість абонентів стільникового зв'язку укладають з оператором довгостроковий контракт, у ціну якого можуть входити і послуги зв'язку, мобільний телефон, смартфон або планшет. З одного боку це зручно — ви отримуєте новий пристрій або взагалі безкоштовно або зі знижкою, з іншого — просто так взяти і перейти до іншого оператора до закінчення контракту не вийде. Схема роботи передбачає, що вас, як потенційного клієнта, будуть перевіряти на платоспроможність, приблизно як при оформленні кредиту в банку. Для цього робиться запит в місцеве бюро кредитних історій. У випадку з T-Mobile таким бюро виступала компанія Experian, яку і зламали.

За інформацією від постраждалої компанії, несанкціонований доступ до одному з її серверів був одноразовим і короткочасним, але, імовірно, втік великий масив даних про 15 мільйонів абонентів стільникового оператора за дворічний період. Треба визнати, що обидві компанії повели себе в цій непростій ситуації дуже відкрито. На сайтах були розміщені докладні описи того, що сталося. Постраждалим пропонується безкоштовний сервіс відстеження підозрілих операцій з використанням їх персональних даних. Це значний прогрес, порівняно, наприклад, з компанією Target, яка після витоку даних про 40 мільйонів кредиток обмежилася коротким сообщением в стилі «ми все полагодили». У разі T-Mobile інформація про кредитні картки не постраждала, а от все інше — таки да, включаючи імена, адреси, водійські права тощо. Причому, в листі CEO T-Mobile відзначається, що дані частково були зашифровані, але мабуть недостатньо добре.


«А вони такі: у нас всі дані зашифровані!»

Ця історія має відношення і до приватності: кредитні організації апріорі повинні знати про своїх клієнтів дуже багато, і інформацію вони отримують з різних джерел. Більше того, вони ці дані продають іншим компаніям за гроші, і далеко не завжди їх клієнти — респектабельні міжнародні компанії. Раніше та ж Experian засвітилася ще в одному скандалі. Тоді нікого не ламали, просто один громадянин В'єтнаму від імені якогось Сінгапурського ТОВ оплатив послуги Experian і перепродав дані 20 мільйонів американців групами злочинців, які спеціалізуються на тому, що називається крадіжка особистості. Якщо ви звернетеся, наприклад, у Amazon з проханням змінити забутий пароль, у вас можуть запитати адресу, дату народження і номер соціальної страховки, і саме цими даними в асортименті володіє така організація як Experian.

І ще: втратити дані простіше всього в момент передачі з однієї компанії в іншу. Просто тому, що технології і підхід до захисту обов'язково будуть відрізнятися.

Виробник IP-камер заблокував розкриття інформації про уразливості в його продукті, пригрозивши судом
Новость. Короткий зміст дослідження.

Дослідник швейцарської компанії Ptrace Security Джанні Ньеса хотів розповісти на конференції HITB GSEC в Сінгапурі про деякі аспекти безпеки IP-відеокамер. Але не зміг. У його дослідженні містилися приклади вразливостей в мережевих камерах спостереження від трьох різних виробників (ми тепер не дізнаємося, у яких). Ніщо не віщувало такого повороту подій: Джанні надіслав інформацію про уразливість вендорам, вів рутинну листування з технарями, і, нарешті, повідомив, що готує виступ, запропонував узгодити зміст його дослідження. З цього моменту айтішники однієї з компаній кудись зникли, а замість них в діалог вступили юристи, порекомендовавшие нічого і нікому не розповідати (а то гірше буде).

Не перший раз таке відбувається, і, на жаль, не востаннє. Причина теж зрозуміла: грань між дослідником і киберпреступником з точки зору спостерігача очевидна (перший намагається не нашкодити), а от з точки зору закону чітко не прописана. Показовим прикладом є Вассенаарские домовленості — міжнародна угода про обмеження експорту технологій подвійного призначення. У грудні 2013 року європейський парламент вніс у список таких технологій, призначений для несанкціонованого доступу до комп'ютерних систем. Ідея «злому заради благих цілей» взагалі вкрай сумнівна, але тут хоча б задумалися про те, що розробники такого (наприклад, сумно известная Hacking Team) повинні акуратніше вибирати клієнтів.

Але сформулювали це все так, що під формулювання «intrusion software» може потрапити все, що завгодно. Кіберзлочинцям це не зашкодить, а от дослідникам (наприклад, пентестерам) ускладнить життя. Результат — у вересні компанія HP відмовилася від участі в японському хакатоне PWN2OWN, тому що виїзд фахівців компанії може бути кваліфікований як той самий «експорт технологій подвійного призначення».

Ох. Якщо вже у компаній все складно, то в питаннях законодавства взагалі темний ліс. Мотивація вендорів, які заборонили публікацію вразливостей зрозуміла — якщо є спосіб полегшити собі життя, чому б ним не скористатися. Ось тільки як це позначається на безпеці?


Якщо б компанії витрачали сили не на судові тяжби, а на закриття вразливостей, світ був би значно безпечніше.

Не можна сказати, що сценарій «все всім дозволити» сильно краще, ніж «все заборонити» — в кінці кінців безвідповідальне розкриття інформації про уразливому та залозі може серйозно нашкодити користувачам. Рішення, як завжди, знаходиться десь посередині між двома крайнощами.

Що ще сталося:
З безпекою в атомній енергетиці оченьдуже погано. Пост на тему в блозі Євгена Касперського. Головний висновок: навіть якщо вам здається, що між вашою критичної інфраструктурою та інтернетом є Air Gap, подумайте ще раз. Можливо, вам тільки здається.

Gartner ще і пророкує майбутнє. З цікавого: до 2018 року доведеться створити «машини, контролюючі машини» — адмініструвати мільйони пристроїв з «інтернету речей» руками стане неможливо (витративши половину вихідної «адміністрування» чотирьох Raspberry Pi, не можу не погодитися). Більш того, навіть людям обіцяють «роботів-начальників», а трекери активності доведеться носити не для підрахунку кроків, а щоб роботодавець за вами стежив. Чудовий новий світ! Втім, це якщо роботу знайдеш: у найбільших компаніях через три роки машин буде більше, ніж людей.

Дрони та інші безпілотники можна зламати (ми і не сумнівалися). Цікаво, що кожен черговий тип розумних пристроїв хворіє, як вітрянку, всіма дитячими security-болячками. В даному випадку: не вимагають авторизації протоколами передачі даних.

Давнину:
Сімейство «Hymn»

Сімейство резидентних дуже небезпечних вірусів. Стандартно вражають COM — та EXE-файли при їх запуску, закриття, перейменування або зміні їх атрибутів. Якщо номер поточного місяця збігається з числом (1 січня, 2 лютого, тощо), знищують частина системної інформації Boot-сектора диска C:, потім розшифровують і виводять на екран картинку:



Потім виконують Державний Гімн СРСР. При цьому вірус обнуляє в Boot-секторі диска байти, в яких зазначаються число байт на сектор, секторів на кластер, кількість копій FAT і т. д. (всього 9 байт). Якщо виконати подібні зміни в Boot-секторі комп'ютера, що працює в середовищі MS-DOS, він перестане завантажуватися як із вінчестера, так і з флоппі-диска. Для того, щоб відновити інформацію, необхідно написати власний міні-завантажувач або скористатися спеціальними утилітами. «Hymn-1962» і «Hymn-2144» шифрують своє тіло.

Цитата по книзі «Комп'ютерні віруси в MS-DOS» Євгена Касперського. 1992 рік. Сторінка 36.

Disclaimer: Дана колонка відображає лише приватна думка її автора. Воно може збігатися з позицією компанії «Лабораторія Касперського», а може і не збігатися. Тут уже як пощастить.

Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.