Security Week 49: б/в сертифікати, крадіжка даних з дитячих іграшок, Microsoft блокує небажане

На цьому тижні нічого не сталося. Ну як, потік новин про безпеку в IT був звичайний — тут зламали, там вразливість, тут патч — але без якихось серйозних одкровень. Коли я тільки починав вести щотижневий дайджест, мені здавалося, що таких тижнів буде чимало, але поки, з серпня, вийшло всього дві: нинішня ще одна. Але ви подивіться, з чого складається цей нібито вакуум:

— У виробника іграшок вкрали дані мільйонів клієнтів, купу особистої інформації про дітей-власників «розумних» пристроїв з камерами та іншим.
— Тисячі модемів, роутерів і подібних пристроїв у багатьох виробників використовують однакові сертифікати і ключі для доступу по SSH.
— В США бурхливо обговорюють запити ФБР в стилі «дайте нам дані і нікому не розповідайте про це», деталі яких вперше були оприлюднені з 2001 року, коли таку практику запровадили.

Нормальне таке «нічого», хоча так, ніяких супервзломов не було, нічого капітально не впало, і то добре. Втім, наші експерти, підбиваючи підсумки року найгучнішим подій інфобезпеки, ніякого зниження активності не бачать, швидше навпаки. Ну і ми не будемо розслаблятися, зима близько. Традиційні правила: щотижня редакція новинного сайту Threatpost вибирає три найбільш значущих новини, до яких я додаю розширений і нещадний коментар. Всі епізоди серіалу можна знайти на по тегу.

Тисячі модемів, роутерів та інших мережевих пристроїв використовують однакові ключі та сертифікати
Новость. Оригінальне исследование.

ОК, в будь-який інший новини про злом роутерів теж можна написати про тисячі пристроїв, а то і про сотні тисяч і мільйони. Кожну серйозну уразливість в масових пристроях, постійно підключених до мережі також можна забезпечити докладною інструкцією по реагуванню. Ось такий:



Тому що навіть сама серйозна уразливість, про яку дізнається максимальна кількість людей, ніяк не вплине на кількість запатченных пристроїв: дірявих все одно залишиться багато. Так от, те, що розкопав дослідник Стефан Вибок з компанії SEC Consult — ще серйозніше. Він проаналізував прошивку більш ніж 4 тисяч пристроїв від 70 різних виробників: мережеві шлюзи, роутери, IP-камери, телефони та інше. У прошивці кожного такого пристрою захисту ключі і сертифікати для доступу, або по SSH, або через веб-консоль, конкретно дослідники шукали ключі SSH і сертифікатів X. 509. Всього на 4000 пристроїв було знайдено 580 унікальних ключів. Так, це означає, що на деяких пристроях ключі не зовсім унікальні.

Використовуючи мережеві сканери, дослідники пройшлися по мережі й виявили, що ключі та сертифікати зі списку маються на 9% всіх хостів HTTPS в інтернеті (150 сертифікатів, 3,2 мільйона хостів) і на 6% SSH-хостів (80 ключів, 900 тисяч хостів). Як так взагалі виходить?

Є приклади. Сертифікат, виписані на ім'я співробітника Broadcom, присутній в SDK (мабуть для SoC цієї компанії), який практично автоматом переселяється в прошивки різних пристроїв, різних виробників. У мережі сертифікат був виявлений на 480 тисяч хостів у мережі. Ще один сертифікат від Texas Instruments, мабуть за такою ж схемою, виявляється в 300 тисяч пристроїв, в компанії зі статичним ключем SSH. Чим це все загрожує, теж зрозуміло: атаки типу man-in-the-middle, крадіжка паролів та інший перехоплення даних. Загалом, знайшли ще одну дірку, з якої не дуже-то зрозуміло що робити, і навіть до кінця не ясно, де ще вона може спливти.

Злом виробника розумних іграшок VTech призвів до витоку даних 5 мільйонів користувачів
Новина. Заява компанії. FAQ производителя.

У сучасному кибермире є безліч місць, в яких зберігаються ваші особисті дані. Настільки багато, що ніхто з нас, по суті, не знає, де саме, і як вони захищені. Історія китайського виробника «розумних» дитячих іграшок VTech зайвий раз це підтверджує: злом серверів компанії призвів до витоку даних не тільки «клієнтів» (батьків), але і дітей. Як мінімум — витекли імена і дати народження дітей, максимум — фото, зняті камерою, вбудованою в деякі іграшки. У батьків витекли паролі, причому погано захищені (були зашифровані, але при цьому не використовувалася сіль, так що з використанням райдужних таблиць їх легко перевести в звичайний текст), контактні дані, загалом все крім платіжної інформації — вона оброблялася третьою стороною. Всього постраждало до п'яти мільйонів облікових записів.


Серія «Мої перші витоку персональненьких даних»

Як так вийшло? В офіційній заяві компанії йдеться: «На жаль, наша база даних була не настільки захищена, як хотілося б». Більш того, злам стався 14 листопада, а в компанії про це дізналися тільки 24-го, через десять днів після запиту журналіста — злита база до того часу вже витекла в мережу. Звичайно цей злом не претендує на лаври самого масштабного, але дещо лякає своєю несподіванкою: 5 мільйонам користувачів по всьому світу тепер доведеться задуматися про зміну всіх паролів до всіх сервісів, але не тільки. Впевнений, що більшість користувачів навіть не підозрювали, що саме зберігає у себе виробник дитячого планшета.

Тобто покоління нинішніх батьків не факт, що мало комп'ютер в дитинстві. У мене ось був, але там не було навіть ігор, не те що інтернету: замість «видеочатика з мамою» доводилося грати в сортування бульбашкою і асемблер. А ось нинішні діти сприймають всі навколишні нас гаджети як щось природне, мало не з народження. Досі всі розмови про захист дітей в мережі зводилися до обмеження доступу до контенту. Мабуть пора задуматися про те, що самих даних про дітей, їх поведінці і активності, зберігається у третьої сторони дещо більше, ніж можна припустити. Це в загальному-то нормально, але захищати ці дані явно не за залишковим принципом, виходячи зі стратегії «ну кому прийде в голову нас ламати». Ось, кому спало.

Мікрософт блокує «вводить в оману», натякаючи на доважки до популярного софту і адварь.
Новина. Пост у блозі компанії.

Microsoft ввела новий термін: PUA або Potential Unwanted Application або Потенційно Небажане Додаток. Визначення цього самого ПНжП досить загальне, але ми всі розуміємо, що в компанії натякають. Блокування можуть піддатися додатки, що використовують технологію вставки рекламних банерів, софт, що поширюється як «доважок» до звичайного, а також софт «наполегливо пропонує оплатити послуги з ознаками шахрайства». Як ми всі знаємо, грань між більш-менш легітимними програмами, що використовують таку тактику, і зовсім нелегітимними — наприклад підробленими антивірусами, вона дуже тонка.


Ми у вас щось знайшли і вилучили

Тому сервіс з видалення або блокування ПНжП буде надаватися тільки корпоративним користувачам, а не всім одразу. Сервіс зроблений відключається, так як будь-яка подібна блокування може призвести до помилкових спрацьовувань. Можливо фіча допоможе зробити компанії трішки безпечніше, хоча реально працююча система все-таки передбачає заборону все, що не дозволено.

Що ще сталося:
Юридична колізія в американському суді призвела до розкриттю інформації про те, що ФБР називає National Security Letter, а в компаніях зазвичай іменують «gag order» — це коли спецслужби просять розкрити дані про користувача, одночасно вимагаючи зберігати сам факт розкриття в секреті. Проти цієї тактики послідовно виступають багато компаній, і навіть придумали спосіб обійти секретність: спочатку на сайт вішаємо заяву про те, що ми не надавали інформацію спецслужбам по секрету, а якщо такий випадок станеться — прибираємо заяву. Дуже багато обговорень питань приватності, але ні грама технологій.

У Китаї виявили чергову APT, сливающую дані жертв через Dropbox.

Давнину:
Сімейство «Darth»

Дуже небезпечні резидентні віруси, вражають .COM-файли при запису в них (int 21h, ah = 40h). Записуються в початок файлу не зберігаючи його старе вміст. Вбудовуються в сегмент DOS. Підміняють адреса функції 40h в таблиці функцій переривання 21h. Містять текст «Darth Vader».

Цитата по книзі «Комп'ютерні віруси в MS-DOS» Євгена Касперського. 1992 рік. Сторінка 28.


Image credit: Stefano Buttafoco / Shutterstock.com

Хоч щось у цьому світі не змінюється, і це мабуть навіть приємно. Хай буде з вами сила!

Disclaimer: Дана колонка відображає лише приватна думка її автора. Воно може збігатися з позицією компанії «Лабораторія Касперського», а може і не збігатися. Тут уже як пощастить.

Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.