Security Week 12: ФБР зламає айфон без допомоги Apple, криптодыра в iMessage, шифрувальники в лікарні

Перш ніж перейти до новин, поговоримо про фізиків і лириках про маркетинг вразливостей. Цей відносно новий термін народився пару років тому, з появою Heartbleed — першої уразливості, отримала власне ім'я, логотип і рекламний ролик. Не можна сказати, що всі сприйняли таке нововведення позитивно: мовляв компанії або експерти, які виявили дірку, замість суворого технічної мови використовують мову реклами, і таким чином наживаються на біді. Не можу з цим погодитися. Хоча певний момент реклами тут є (а де його немає?), спроби пояснити простими словами (чи навіть образами) складні технічні речі, про які важливо знати і неспеціалістам, повинні тільки вітатися.

Дана тема отримала свій розвиток на цьому тижні, коли з'явилася, немає, не інформація про уразливості, а анонс уразливості. Фахівці компанії SerNet, в команді якої є розробники протоколу SMB (точніше вільної його реалізації Samba), оголосили про серйозної уразливості в такому. Порушена як Linux-реалізація протоколу, так і власне Windows. Але деталі розкривати не стали: інформація буде розкрита тільки 12 квітня. Чому зробили саме так? Автори дослідження вважають, що так у потенційних жертв атаки буде можливість підготуватися. Досить спірне твердження: критики цієї ідеї утверждают, що таким чином дослідники могли дати фору атакуючим, якщо останні здогадаються про характер уразливості, хоча б з назви мінісайт (Badlock). Чи варто було так робити — дізнаємося через два тижні, у всіх файлових кулях інтернету.

А тепер до новин. Попередні випуски дайджесту тут.

ФБР попросила відкласти судові дебати з Apple і спробує зламати iPhone без допомоги виробника
Новина.

В понеділок Apple представляла нові пристрої, і на самому початку заходу глава компанії Тім Кук поговорив про вимоги ФБР допомогти зі зломом iPhone 5c, що належав терористові (короткий зміст попередніх серій — в це дайджесті). Передбачаючи запланирование на наступний день після презентації судове засідання, Кук дав зрозуміти, що відступати або здаватися компанія не збирається. І не довелося. ФБР попопросила перенести слухання у зв'язку з тим, що з'явилася можливість вирішити проблему (тобто розблокувати або іншим чином отримати інформацію з айфона) без допомоги виробника.

Загалом серед фахівців досить популярна думка, що ФБР могла б витягнути дані з телефону самостійно, а вимоги до Apple — це спроба послабити криптозахист телефонів в цілому. Як би те ні було, до п'ятого квітня новин з фронту боротьби Apple з ФБР не очікується — саме до цього терміну слідчі повинні зрозуміти, чи працює «альтернативний» метод. Що за метод? Незрозуміло. Є конспіративна версія, що ФБР вирішило допомогти Агентство Національної Безпеки і підкинуло із запасників якийсь експлойт для уразливості в телефоні. Два дні тому, як зазвичай з посиланням на неназвані джерела, агентство Reuters написало, що зломом займеться ізраїльська компанія Cellebrite. Досить старий iPhone 5c знаходиться в списке пристроїв, «підтримуються» цією компанією. Нових iPhone 6s там до речі немає. І це такий милий нюанс цієї історії: крім всього іншого вона дає багато інформації щодо вибору телефону і його налаштування для тих, хто серйозно стурбований захистом своєї інформації. Перерахуємо основні й очевидні: тільки найсвіжіший айфон (не реклама), довгий пін-код, а краще символьний пароль на розблокування, невикористання iCloud.

iOS 9.3 закриває серйозний пролом в криптозащите iMessage
Новина. Дослідження.

Представлена у понеділок нова версія яблучної операційної системи для мобільних пристроїв додає спеціальний «нічний» режим для швидкого засинання, але це не найважливіше оновлення. Найважливішим став патч для уразливості в системі обміну повідомленнями iMessage, яка багатьом користувачам ай-девайсів замінила традиційні SMS. Дані, що передаються через систему, шифруються, але, як з'ясували дослідники з Університету Джона Хопкінса, захист недостатньо хороша. В результаті, при виконанні ряду умов, атакуючий може отримати історію листування жертви.


Механізм шифрування повідомлень в iMessage. Дослідження стало можливим, в тому числі, тому, що Apple публічно розповідає про методи шифрування, що дозволяє незалежним дослідникам аналізувати їх надійність.

Умови досить суворі: потрібно або організувати (складний) варіант атаки man-in-the-middle, або отримати прямий доступ до серверів Apple, наприклад (привіт новини вище) за судовим запитом. Один з методів використовує механізм передачі через iMessage вкладених файлів — вони в зашифрованому вигляді зберігаються на сервері Apple, а одержувачу надсилається особливий URL. Використовуючи цю особливість, атакуючий може спробувати реконструювати ключ, послідовно відправляючи на пристрій жертви злегка модифіковані URL для завантаження вкладень.

Зробити це необхідно приблизно 130 тисяч разів, але так як пристрій жертви не реагує на такі запити помітним для власника чином, атака теоретично можлива. Як правило, дослідження являє собою складний матан, а методи атаки включають реєстрацію доменів, схожих на icloud.com (і не один, а багато), використання особливостей стиснення файлів і багато чого іншого. Головне — атакуючий не зможе отримати доступ до даних на смартфоні, але зможе подивитися історію повідомлень, яка зберігається на сервері 30 днів. Або не зможе, залежить від того, оновили ви пристрій до останньої версії iOS.

Ще одна американська лікарня стала жертвою вимагача-шифровальщика
Новость.

Зовсім недавно ми писали про те, як троян-вимагач атакував голлівудську лікарню. У тому випадку, із-за загрози втрати важливих даних, організація заплатила пристойний викуп — 17 тисяч доларів. На цьому тижні аналогічна проблема виникла у лікарні в штаті Кентуккі. Як повідомляється в анализе експерта з безпеки Брайана Кребса, метод атаки не відзначався оригінальністю. Співробітникові лікарні прийшов спам з зараженим вкладенням. Зараження з одного комп'ютера поширилося по всій мережі, очевидно, через спільні папки. В результаті на сайті лікарні з'явилося повідомлення про «екстреної ситуації у зв'язку із зараженням комп'ютерним вірусом».

Вірус, точніше троян, називається Locky і використовує вже забутий спосіб зараження комп'ютера за допомогою шкідливих макросів в офісних документах. На відміну від попередньої атаки на лікарню, співробітники госпіталю в Кентуккі платити викуп не стали, хоча запитувана сума була менша — 4 биткоина або 1600 доларів. Деталі зараження дозволяють намітити та спрямування захисту. І мова тут йде не тільки про проактивного блокування шкідливої програми з допомогою захисного рішення. Непогано було б зробити так, щоб а) працівник не відкривав спам з підозрілим вкладенням і б) навіть у разі зараження троян не поширювався стрімко по мережі без всякого опору. Перше досягається з допомогою тренінгів з безпеки, друге — з допомогою грамотної організації доступу до загальних документів.

Що ще сталося:
Цікава новина не з світу безпеки. Дослідницький підрозділ Microsoft Research два дні тому запустило чат-бота по імені Tay. З допомогою якоїсь системи штучного інтелекту Tay могла спілкуватися з іншими користувачами в twitter (публічно або з допомогою особистих повідомлень), поступово навчаючись у ході такого спілкування. Через два дні робота довелося вимкнути, так як (хто б міг подумати!) користувачі мережі навчили робота поганого. Microsoft зробила офіційну заявление, в якому послалася на якусь «координовану спробу некоректного використання можливості Tay коментувати повідомлення». У перекладі на нормальну мову це звучить приблизно так: «Це інтернет, дитинко, та ти була до неї не готова». Коментатори історії навперебій шкодують про те, що інтернет сповнений ненависті, вважаючи, що вини робота тут немає.



Не погоджуся. Дослідники Microsoft дійсно наділили робота можливістю сприймати неструктурований потік інформації і осмислено реагувати на нього. Це дійсно здорово. А щоб подібні провали не відбувалися, штучний інтелект повинен відрізняти хороше від поганого». А це така дуже відносна штука, по суті ми говоримо про наділення робота власною позицією з широкого спектру питань. Загалом, повертаючись до теми безпеки, не вірте, якщо хтось продає вам диво-захист, що складається тільки з «інтелектуальних алгоритмів». Працювати не буде з тієї ж причини: у безпеці потрібно не лише розуміти, що відбувається, але і вміти правильно оцінювати події.

Давнину:
Сімейство «Taiwan»

Сімейство нерезидентних дуже небезпечних вірусів. Обходять підкаталоги і записуються в початок .COM-файлів. При зараженні файлів блокують клавіатуру (мабуть, дію спрямоване проти резидентних антивірусних моніторів). Якщо ні один .COM-файл не знайдений, то віруси «Taiwan» можуть стерерь частину секторів поточного диска і після цього повідомляють: «Greetings from Central National University. Is today sunny?».

Крім цієї містять рядок ".*.com".

Цитата по книзі «Комп'ютерні віруси в MS-DOS» Євгена Касперського. 1992 рік. Сторінка 47.

Disclaimer: Дана колонка відображає лише приватна думка її автора. Воно може збігатися з позицією компанії «Лабораторія Касперського», а може і не збігатися. Тут уже як пощастить.

Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.