Нестандартний топ подій у сфері IT-безпеки 2015

Ось і прийшов час повторити вправа, яку я перший раз виконав рівно рік назад. Тоді я взяв 10 найпопулярніших новин з нашого сайту Threatpost і спробував з'ясувати — чому саме вони, власне, привернули увагу громадськості і фахівців, і звичайних користувачів. Такий метод має очевидні недоліки — на популярність статей багато що впливає, і зовсім не обов'язково, що найпопулярніші новини про інциденти в кибермире є одночасно і найважливішими. Але є і переваги: подій у сфері інформаційної безпеки відбувається величезна кількість, і кожен учасник обговорення, в залежності від спеціалізації та особистих інтересів, обере свої «най-най». А тут — якщо і не самий об'єктивний, то хоча б незалежний інструмент оцінки.

В цьому році добірка самих відвідуваних новин вдало ділиться на п'ять основних категорій:
— Низькотехнологічні загрози для користувачів
— «Уразливості в несподіваних місцях»: безпека «інтернету речей», домашніх і промислових мережних пристроїв,
— Проблеми шифрування даних
— Гучні уразливості в ключових платформах і «хайтек» кіберзагроз — приклади найбільш просунутих атак
— Рутинні, але небезпечні уразливості в поширеному софті

Ось за ним і пройдемося.

Користувальницькі загрози
Січневий троян в Фейсбуці (10 місце)
Новина.

110 тисяч користувачів Facebook заразилися трояном, клікнувши на посилання в соціальній мережі! Так не може бути!



У той час як космічні кораблі киберармий борознять цифрове простір, в звичайному світі звичайних людей звичайний троян, маскирующийся під апдейт Adobe Flash, встановлює на комп'ютери жертв звичайний кейлоггер. Такі інциденти ми постійно відстежуємо, але в топ вони потрапляють рідко: все ж наша основна аудиторія — фахівці, для яких подібні події інтересу не представляють. Тим не менш, те, що можна назвати «традиційними атаками» було, є і ще довго буде основним головним болем і у користувачів, і в компаніях. Як боротися з ними — в загальному-то зрозуміло, добре відпрацьовані технології. Але атаки, подібні січневої, успішно накривають десятки тисяч користувачів, а значить над поширенням технологій захисту ще потрібно працювати.

Атаки на «інтернет речей», з роутери та промислові мережеві пристрої
Що може бути спільного між бездротовим пультом управління гаражної дверима і мережевим софтом Cisco? Вони однаково погано захищені. Навіть не так: якщо термостати, з веб-камери і маршрутизатори захищені дуже добре, успішна атака на них у будь-якому випадку є несподіванкою. Стратегія захисту і у компаній, і користувачів, зазвичай зосереджена на комп'ютерах і інших пристроях, з якими вони безпосередньо взаємодіють. Все інше являє собою якийсь чорний ящик, який в кращому випадку працює непомітно і не привертає уваги, у гіршому — стає знаряддям для злому, неотслеживаемым і зазвичай незрозуміло як працюючим.

Найбільше наших читачів зацікавили наступні приклади. Ще в грудні 2014 року дослідники Check Point Software знайшли уразливість, яка торкається 12 мільйонів домашніх роутерів (Новость, 9 місце). Отримати доступ до веб-інтерфейсу можна було шляхом відправки спеціально сформованого пакета даних. У червні в захисному моніторингу мережевого трафіку Cisco були знайдені дефолтні SSH-ключі (новость, 8 місце), не перший і не останній випадок «закладки» в мережевих пристроях і відповідному софті. Тоді ж, у червні, дослідник Самі Камкар досліджував дуже слабкий захист в системах віддаленого відкриття гаражних дверей, популярних в США (новость, 7 місце). Ключі до них можна підібрати за півгодини брутфорсом, але ціла серія програмних прорахунків дозволила йому скоротити час злому до 10 секунд.

Додамо до цього уразливості в комп'ютерних системах автомобілів. Цього літа, завдяки роботі дослідників Чарлі Міллера і Кріса Валасека, Chrysler концерн Fiat випустив перший в історії security-патч для автомобіля: вразливість позволяла віддалено зламувати систему управління автомобілем через розважальну систему і навіть перехоплювати управління. Дійсно, якщо уразливості є в софті, в комп'ютерних пристроях, в готельних ключах і брелках для автомобілів, чому б їм не бути в автомобілях? Не можу не процитувати цей показовий твіт:


Мій принтер частіше працює ніж ні, WiFi глючить, але рідко, Xbox зазвичай впізнає мене, і навіть Siri, буває, працює нормально. Але моя машина з автономним управлінням буде працювати ідеально!

Комп'ютери, коли їм доручено зробити щось самостійно, зазвичай роблять менше помилок і дурниць, ніж люди. Ось тільки програмують їх люди, і все частіше комп'ютерним системам на відкуп віддаються досить критичні процеси — від управління АЕС до стояння в пробці на Ленинградке. Ласкаво просимо в дивний новий світ!

Шифрування
Складна тема. Оцінити ефективність того або іншого методу шифрування даних можливо тільки в рамках серйозної наукової діяльності, і то результат часом або не гарантується, або може змінитися з часом. Показовий приклад — алгоритм криптографічного хешування SHA-1, п'ять років тому вважався досить надійним, але в 2015 році оголошений теоретично вразливим. АНБ поставила під сумнів стійкість алгоритмів шифрування з використанням еліптичних кривих, і вже задумывается (або робить вигляд, що замислюється, тут до кінця не ясно) про шифрування, здатним встояти навіть перед квантовими комп'ютерами.

Але цим тема шифрування не обмежується. Вкрай слабка криптографія поставила під удар вже активно використовується протокол Open Smart Grid (новина, 6 місце). OSGP — це реалізація «інтернету речей» для електромереж, спроба об'єднати лічильники і керуючі електрикою системи в єдину мережу, а з електрикою краще не жартувати. Складність теми призводить до того, що основним критерієм до системи шифрування даних є довіра. Трапився ще в середині 2014-го демарш розробників TrueCrypt підірвав довіру до цього популярного ПЗ для захисту інформації, і в 2015 році ми побачили відразу декілька аудитів вихідного коду програми, а також поява викликали великий інтерес спін-оффов — VeraCrypt і CipherShed (новость, 4 місце). Зовсім недавно був розкрито бекдор у маршрутизатори Juniper, і в цій історії тема шифрування також грає не останню роль.

Серйозні уразливості і серйозні атаки
Якщо в минулому році найбільш резонансними прогалинами в безпеці стали Shellshock, Heartbleed, то в цьому увагу привернули вразливість Stagefright (новость, 5 місце) в Android і вразливість у функції визначення IP-адреси, яка є частиною стандартної бібліотеки GLIBC в Linux-системах (новость, 3 місце).


Дослідник вразливостей в Linux. Художня інтерпретація.

Будь-яка вразливість проходить через «теоретичну» і «практичну» стадії — в деяких випадках все обмежується дослідним proof-of-concept, але іноді про нову дірі дізнаються пост-фактум, проаналізувавши вже активну атаку. У 2015 році до цих двох варіантів додався третій: витік даних з компанії Hacking Team, що спеціалізується на продажу експлойтів держструктурам, виявила раніше невідому вразливість в Adobe Flash, яка негайно почала эксплуатироваться киберкриминалом.

З реальних атак двома найбільш помітними стали розкриті дослідниками «Лабораторії» операції Carbanak, The Equation. Якщо в першому випадку найбільш вражала оцінка збитку (мільярд доларів), то в другому — досконалість інструментів атаки, включаючи можливість відновлення контролю над комп'ютером жертви з допомогою модифікованої прошивки жорсткого диска, а також тривалість операції: десятки років! Детальніше про лютневих дослідженнях — у цьому пості.

Рутинні уразливості в поширеній
Таких було виявлено дуже багато. Найкраще це помітно на прикладі патчів для Adobe Flash: 14, 24 і 28 січня, март червень липень, сентябрь декабрь. З однієї сторони це виглядає як погані новини, з іншого — латання дірок", як мінімум у Adobe, ведеться дуже активно — уразливості закриваються десятками за один апдейт. Не можна сказати, що в цілому софт став безпечнішим, але важливою тенденцією цього року стало більш серйозне ставлення розробників софта до безпеки, і це не може не радувати.

Особливою увагою користується софт, встановлений на максимальній кількості комп'ютерів, а на кожному ПК є як мінімум один браузер. З розробники змушені не тільки стежити за самозахистом, але і, по можливості оберігати користувачів від погроз на інших сайтах (найчастіше примусово обмежити функціональність, як це сталося з тим же Flash Chrome). З браузерами пов'язані дві найбільш популярні новини на Threatpost за 2015 рік. На минулому в березні хакатоне pwn2own були зламані всі основні браузери — спочатку Firefox і IE, а пізніше — Chrome і Safari новина, 2 місце).


Задоволені white hat хакери на pwn2own

Нарешті, найпопулярнішою новиною року (цілком в стилі минулорічної дайджесту) стала блокування давньої системи розширень NPAPI в браузері Chrome (новина, 1 місце). Квітнева блокування NPAPI призвела до непрацездатності величезної кількості плагінів — від Java до Silverlight і відповідних проблем у великої кількості розробників. Відмова від legacy коду — ще одна важлива тенденція останнього часу: в певний момент така спадщина починає приносити більше проблем, ніж користі.

Сумніваюся, що в 2016 році проблем з безпекою стане менше, швидше навпаки. Впевнений, що з'являться і нові методи захисту від кіберзагроз. У будь-якому випадку, нам, безумовно, буде що обговорити. В якості додаткового читання за підсумками цього року рекомендую загальний огляд загроз від експертів «Лабораторії», окремий анализ кіберзагроз для бізнесу і предсказания на 2016 рік.

Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.