Security Week 14: небезпечна уразливість в Adobe Flash, WhatsApp включає шифрування, Пентагон платить за баги

Історія про суперечку між Apple і ФБР показала нам як політика може вплинути на технології. На цьому тижні всі обговорюють зворотний приклад — тему про витік даних з панамської юридичної фірми Mossack Fonseca. Не торкаючись політичної сторони цієї події, не можу не відзначити важливий момент: резонансна історія, швидше за все, почалася з кібератаки і крадіжки даних. Про це кажуть в самій компанії і є непрямі докази того, що взломать інфраструктуру фірми було не так вже й складно. Зокрема, зовнішній доступ до документів клієнтів працював на версії Drupal трирічної давнини з мінімум двома критичними уразливими (втім, досить було одній цієї).

Як насправді все сталося, ми навряд чи коли-небудь дізнаємося. В індустрії ІБ взагалі дуже складно вчитися на чужих помилках: ділитися негативним досвідом компанії, зі зрозумілих причин, не люблять. Але загальні висновки зробити можна, а саме:

— Не буває неважливих корпоративних даних. Не виключено, що в Mossack Fonseca навіть не підозрювали, який резонанс можуть викликати зберігаються у них документи. Це призводить до недооцінки ризиків і неадекватним витрат на захист.
— Шифрування даних — це ефективний захід. Про це говорить інша частина цієї історії: десятки журналістів по всьому світу аналізували отримані документи більше року, використовуючи хмарні системи та різні форми передачі даних в зашифрованому вигляді (починаючи з VeraCrypt, форк TrueCrypt для шифрування жорстких дисків). За цей час не відбулося жодного витоку, незважаючи на величезну кількість учасників проекту і відсутність серйозних зобов'язань між ними.
— Обсяг витоку перевищує 2,5 терабайта. Потрібна система, яка допоможе компаніям фіксувати такі події. Неважливо з якої причини з серверів компанії витікає величезний обсяг даних — фахівець з безпеки повинен про це знати.

А тепер перейдемо до традиційних новин. Всі випуски дайджесту доступні по тегу.

Adobe закриває критичну уразливість в Flash, яка вже використовується для поширення криптолокеров
Новина. Advisory.

Чергових, позачергових та інших патчів для Adobe Flash за останній час було так багато, що черговий апдейт навряд чи б удостоївся уваги, якби не активне використання критичної уразливості. До того, як апдейт був випущений. Не так вже часто вони отримують інформацію про свіжих вразливості до того, як вони закриваються. Це їм, втім, не заважає заражати користувачів незахищених ПК і після патча, так як не завжди і не скрізь софт оновлюється вчасно. Як з'ясувалося в четвер, критична уразливість Adobe Flash зачіпала версії для всіх платформ, викликала збій у роботі плагіна і могла призвести до виконання довільного коду. Уразливість використовували в експлойт-паках Magnitude і Nuclear для поширення криптолокеров Cerber і Locky.

Locky — це той самий троян-шифрувальник, який нещодавно наробив шуму після инцидента з зараженням медичних установ. Впевнений, що ця подія стане ще одним аргументом на користь повного і остаточного відмови від Flash — адже виходить, що навіть встановлюючи самі останні апдейти не можна бути впевненим у безпеці системи. Але виявляється своєчасний апдейт все ж допомагає і в цьому випадку. Проаналізувавши експлойт-пак, експерт компанії Proofpoint помітив, що він таргетує зовсім користувачів старих версій Flash. Новий експлойт, який якийсь час (мінімум 3 дні до патча) міг успішно атакувати навіть найсвіжіші релізи плагіна, чомусь використовувався тільки для застарілих версій. Судячи з усього, творці експлойт-пака не до кінця зрозуміли, що саме потрапило їм до рук.

Whatsapp впровадив наскрізне шифрування повідомлень для всіх користувачів
Новость. Пост в блозі Whatsapp.

Творці месенджера Whatsapp в останній версії клієнта для всіх мобільних платформ включили повне наскрізне шифрування повідомлень. Причому це стосується всіх видів переданих даних: в особистих і групових чатах, текст і картинки, для голосових повідомлень і дзвінків. Для шифрування використовується відкритий протокол Signal. Якщо шифрування реалізовано коректно, і воно дійсно наскрізне, то по ідеї прочитати повідомлення можете тільки ви і ваш співрозмовник (або співрозмовники). Саме це Whatsapp і обіцяють. Саме тому дана подія називають куди більш важливим, ніж суперечка між Apple і ФБР: сотні мільйонів користувачів цього тижня отримали безкоштовний, надійний і захищений канал зв'язку.



Чи ні? Ми зібрали коментарі експертів в цієї новини. Зокрема, протокол може бути ідеальним, але в кінцевому рахунку за реальну захист даних відповідає власник системи, тобто в даному випадку Facebook. На думку незалежного експерта Джонатана Здярски, приватність і сам Facebook — речі несумісні. Впевнений, що так думає не тільки він. Більш аргументована аргумент: навіть якщо повідомлення буде неможливо розшифрувати, метадані (IP-адреси та інша інформація) все одно розкривають занадто багато, щоб можна було говорити про повної конфіденційності або анонімності. Нарешті, зашифрована передача даних не скасовує уразливості інформації на кінцевому пристрої. Втім, це ми вже проходили недавно, з кейсом про злом телефону Apple. Впевнений, досить скоро дебати на тему конфлікту між приватністю і необхідністю відстежувати комунікації, звичайно з благою метою (але не тільки) будуть продовжені. І обговорювати на них будуть як пристрою, так і протоколи мережі: два ключових точки перехоплення інформації.

Про абсолютну приватність нещодавно висловився глава ФБР, читайте в цієї новини. Якщо коротко, то він проти.

Пентагон відкриває власну bug bounty програму Hack The Pentagon
Новина.

Як зламати Пентагон і отримати за це гроші. ОК, не зовсім так. Програми Bug Bounty насамперед спрямовані на те, щоб формалізувати спілкування між дослідниками і вендорами, дати можливість першим отримувати винагороду за свою роботу, а другим — своєчасну інформацію про уразливість в софті, залозі або інфраструктурі. За останні півроку ми не раз обговорювали приклади, коли в цьому спілкуванні щось йде не так: і уразливості розкриваються до появи патчів, і вендори намагаються наїжджати на дослідників. Тим не менш організація власної програми мало того, що у держструктури, так ще й у військового відомства — це серйозний прогрес, і дуже позитивна новина.



Програма реалізована на платформі компанії HackerOne, надає компаніям інфраструктуру для роботи з дослідниками. Втім, прогрес прогресом, але не обійшлося без особливостей. Пред'являти певні вимоги до знайдених вразливостей — це цілком нормально, але Пентагон досить серйозно фільтрує і самих дослідників. Потрібно мати громадянство США, а особливим щасливчикам ще доведеться пройти security check, включаючи перевірку на наявність судимостей. Відмовитися від перевірки можна, але і премію тоді не виплатять, навіть якщо дослідження буде відповідати всім правилам.

Що ще сталося:
На Філіппінах украли базу даних виборців, 55 мільйонів записів.

ФБР в рамках судового розгляду попросили розповісти, як саме вони зламують комунікації в мережі Tor. ФБР ввічливо відповів відмовою.

Небезпечна уязвимость в мережевих екранах Cisco.

Давнину:
Сімейство «Protect»

Небезпечні резидентні віруси, стандартно вражають COM — та EXE-файли при запуску на виконання. Перехоплюють int 21h і int 1Ch або int 33h в залежності від версії. Містять текст: «File protection». «Protect-1157» знімає атрибути файлів та блокує роботу миші. «Protect-1355» проявляється на EGA і VGA монітори дрібним і дуже противним тремтінням екрану.

Цитата по книзі «Комп'ютерні віруси в MS-DOS» Євгена Касперського. 1992 рік. Сторінка 44.

Disclaimer: Дана колонка відображає лише приватна думка її автора. Воно може збігатися з позицією компанії «Лабораторія Касперського», а може і не збігатися. Тут уже як пощастить.

Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.