Security Week 08: крадіжка мишей через свисток, операція «Блокбастер», Linux Mint з бекдорів

Крім позначених у заголовку новин тижня, продовжує розвиватися історія протистояння Apple і ФБР, або більш точно — боротьба між вендорами і державою на полі законодавства. Більш докладно я про це написав у попередньому дайджесті, в коментарях до якого було помічено одне показове сумнів у важливості даної теми. Мовляв, яка різниця, змусять Apple написати бекдор до свого ж пристрою або не змусять — все одно ЦРУ (АНБ, інші комбінації з трьох букв) зламає і так, без суду.

Може ЦРУ (АНБ, ітд) зламувати айфони або не може — ми не знаємо, і достовірно не дізнаємося ніколи. Але суть конфлікту полягає в тому, що Apple намагаються змусити «зламати» власний смартфон самостійно. Компанія ж пручається, виступаючи (не прямим текстом, звісно) за поділ праці: завдання Apple максимально захистити персональні дані своїх клієнтів (від кого завгодно), завдання спецслужб — зробити так, щоб захист не заважала розслідування злочинів. Про це йдеться в поданому вчора клопотанні Apple — там юридичною мовою оформлені раніше публічно висловлені претензії. Найважливіше: на думку Apple ФБР просить дуже багато. Типове дію суду — вимагати у компанії дати те, що у неї вже є (дані з iCloud, логи, вихідні коди софта). Але в даному випадку від Apple вимагають створити щось нове — інструмент для злому телефону, якого раніше у компанії не було. В Apple назвали такий бекдор GovtOS (або ГосОсь, якщо хочете).

Визначилася ситуація і з можливими наслідками для індустрії. З одного боку, якщо Apple змусять зробити бекдор, це створить прецедент для інших подібних запитів, і не тільки в США. Як з'ясувалося, вже зараз на розгляді знаходяться запити мінімум десяти пристроїв Apple, де суд вимагає від Apple зламати свою ж захист. З іншого боку, незалежно від результату судових баталій, даний кейс може змусити Apple вирішити проблему за допомогою технологій, а саме — змінити софт і залізо майбутніх пристроїв так, що у виробника в принципі не буде можливості добути дані користувача. Взагалі ніяк. В New York Times пишут, посилаючись на анонімні джерела, що робота вже розпочата.

А тепер до інших новин. Всі випуски дайджесту — тут.

Декілька вразливостей в бездротових мишей дозволяють отримати повний контроль над комп'ютером віддалено
Новость. Деталі дослідження на сайті Bastille Networks.

Підшиваємо новину до справи за двома категоріями: «Прийшла біда, звідки не чекали» і «Ніколи такого не було, і ось знову». Якщо коротко, то в бездротових мишей у семи різних виробників, включаючи Lenovo, Dell, Microsoft і Logitech знайшли серію вразливостей. У комплексі вони дозволяють віддалено підключатися до комп'ютера без вашого дозволу, передавати натиснення клавіш і рухи миші, і таким чином, потенційно, отримувати повний контроль над системою. У сенсі, нема чого заразити комп'ютер вірусом, якщо код вірусу можна віддалено «набрати» і виконати прямо на системі жертви, без попиту і в дуже швидкому темпі. Уразливості не схильні Bluetooth-миші, а пристрою зі своїм приймачем і пропрієтарним протоколом бездротової передачі даних. А значить, мишами справа не обмежується: якщо у вас бездротова клавіатура з USB-приймачем, і до приймача теоретично можна підключити і миша, то у вас проблеми. Список схильних пристроїв исслоедователи виклали.



Як так вийшло? Дуже просто. Вимоги щодо безпеки передачі даних до мишам виявилися нижче, ніж до клавіатур. Фахівці з Bastille Networks з'ясували, що трафік між клавіатурою і комп'ютером майже завжди зашифрований, в той час як обмін даними між комп'ютером і мишею не шифрується. Мабуть тому, що перехоплення натискань клавіш дає дуже небезпечну інформацію, а рухи миші самі по собі нічого не розкривають. Далі з'ясувалося, що підключитися до приймачів можна взагалі без попиту. По ідеї, додавання нових пристроїв повинно відбуватися тільки в спеціальному режимі спарювання, але по факту це обмеження можна обійти. Нарешті, позначивши свій пристрій мишею, можна передавати на комп'ютер і натиснення клавіш, і приймач буде ці натискання приймати, незважаючи на дивність такій ситуації.

Ну далі зрозуміло. Знаходимо уразливий приймач поблизу (до ста метрів), підключаємося, передаємо Ctrl-Esc, cmd, і так далі, і тому подібне. Виходить вкрай небезпечна штука, яка хоч і не дозволяє стежити за користувачем, але в режимі «тільки запис» може стати способом отримання повного контролю над системою. У дослідженні наголошується, що далеко не всі пристрої в принципі можна «залатати». І вирішення проблеми поки предоставила тільки Logitech.

Операція «Блокбастер» допомогла розкрити діяльність групи «Лазар», відповідальну у тому числі за атаку на Sony Pictures Entertainment
Новость. Дослідження «Лабораторії». Спільний звіт всіх компаній-учасників розслідування.

Злом Sony Pictures Entertainment став однією з найбільш обговорюваних ІБ-новин 2014 року, і досі є свого роду еталонним кейсом для демонстрації наслідків від атаки: величезні грошові втрати, втрата репутації, витік величезного масиву приватних даних, недоступність сервісів, зовнішніх і внутрішніх, протягом довгого часу. Природно, відразу виникло питання про те, хто причетний до злому. Але в індустрії безпеки це питання — не найактуальніше. Важливіше зрозуміти, як а) захиститися від подібних атак б) як максимально знизити збиток від майбутніх атак тієї ж групи.



Щоб знизити збиток, потрібно вийти за межі конкретної атаки і проаналізувати роботу threat actor в цілому. А це нелегко: кіберзлочинці не випускають прес-релізів про причетність до атаки, плутають сліди, змінюють і оновлюють засоби злому. Операція «Блокбастер» являє собою рідкісний приклад взаємодії декількох компаній з метою збору і публікації повної інформації про діяльність конкретної групи кіберзлочинців. Групу назвали «Лазар». Спільна робота багатьох дослідників дозволила атрибутувати цьому угрупованню десятки атак по всьому світу, включаючи і злом Sony Pictures.



Як взагалі можна об'єднати різні атаки? У нашому дослідженні наводиться один курйозний приклад: у рядку user agent одного з модулів, використаних в атаці, є помилка: Mozillar замість Mozilla. По ній можна легко ідентифікувати приналежність. Але зазвичай аналіз зв'язків між атаками вимагає багато часу. Саме тому таке дослідження стало можливим завдяки співпраці кількох компаній. У результаті дослідникам вдалося ідентифікувати приналежність групи до атак в різних країнах, включаючи Південну Корею, Росію і США, починаючи з 2010 року і по даний час. Хто ж все-таки реально стоїть за цими атаками? Факти: значна частина модулів створювалася в локалі Корейської мови, метадані говорять про перебування групи у GMT+8 або 9 (Північна і Південна Кореї, значна частина Азії) безліч атак на південнокорейські ресурси.

Злом сайту дозволив вбудувати бекдор в офіційні дистрибутиви Linux Mint
Новость. Посада в блозі мэйнтейнеров. Исследование «Лабораторії».

Пам'ятайте історію про один з найдавніших багів? Тоді я згадав баг з трекера Red Hat від 1999 року, в якому обговорювалися питання перевірки завантажуваних оновлень для Linux. Той баг, із застереженнями, закрили, але проблема залишилася: якщо розробник операційної системи погано контролює її поширення, рано чи пізно це може призвести до появи версій системи з шкідливою функціональністю. Саме тому дистрибутиви Linux бажано завантажувати з офіційного сайту, так як там гарантується відсутність закладок.

Чи не гарантується? Рано чи пізно таке мало статися: сайт досить популярного дистрибутива Linux Mint зламали, і підмінили один з офіційних образів системи. Постраждалих виявилося небагато: вчасно помітили, скачати дистрибутив з бекдорів можна було тільки 20 лютого, причому зіпсований був тільки один образ на одному майданчику. Тим не менш, випадок показовий. Він дозволив оцінити наслідки такого злому. Заражені системи підключалися до каналу IRC, звідки їм можна було роздавати команди.



У момент аналізу бекдор експертами «Лабораторії» в каналі світилися близько 50 систем. Зловмисник може завантажувати довільні файли з комп'ютера або сервера жертви, особливої уваги удостоїлися доступні мережеві папки, паролі для доступу до форуму Linux Mint. Крім того, заражену систему можна використовувати для DDoS-атак. Загалом, не забувайте перевіряти контрольну суму дистрибутивів з еталонною, так? Не зовсім, її також можна підмінити, якщо сайт розробника зламаний. Поки що це разовий інцидент, але він явно вимагає більш складної системи контролю за чистотою дистрибутивів.

Що ще сталося:
Компанії Nissan довелося вимкнути систему віддаленого керування автомобілем, яка дозволяла за допомогою телефонного додатки управляти клімат-контролем, перевіряти статус акумуляторної батареї і т. д. З простої причини: доступ до системи був відкритий кому завгодно, достатньо знати «секретний» URL і останні цифри серійного номера (VIN) автомобіля. Треба віддати належне Nissan: відреагували швидко, систему вимкнули до кращих часів. Схильні опинилися близько 200 тисяч авто Nissan Leaf.

Давнину:
Сімейство «Datacrime»

Нерезидентні дуже небезпечні віруси. При запуску зараженого файлу стандартно інфікують не більше одного COM — або EXE-файлу у всіх поточних каталогах всіх доступних дисків. Залежно від таймера і своїх внутрішніх лічильників видають на екран текст:

«Datacrime-1168,-1280» — «DATACRIME VIRUS RELEASED 1 MARCH 1989
«Datacrime-1480,-1514» — «DATACRIME II VIRUS»

і після цього намагаються форматувати кілька треків вінчестера.

Цитата по книзі «Комп'ютерні віруси в MS-DOS» Євгена Касперського. 1992 рік. Сторінка 28.

Disclaimer: Дана колонка відображає лише приватна думка її автора. Воно може збігатися з позицією компанії «Лабораторія Касперського», а може і не збігатися. Тут уже як пощастить.

Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.