Security Week 16: злом миші з 225 метрів, детектор криптолокеров в Mac OS X, мільйон доларів за злом iPhone

найпомітніша зміна в новинному тлі по темі інфобезпеки порівняно, скажімо, з осені минулого року — це бурхливі дебати навколо і близько шифрування даних. Розпочавшись з теоретичних вишукувань про потенційні уразливості, наприклад, SHA-1, тема набула суто практичний забарвлення по мірі розвитку диспуту між Apple і ФБР, з переходом месенджера Whatsapp на повне шифрування даних і з підвищенням уваги до проблеми криптолокеров (хоча здавалося б, до чого тут вони?). Криптолокеры тут може і справді не при чому, але не можу не відзначити іронію положення: в одному випадку прогресивна частина суспільства виступає за повне шифрування даних, в іншому — відчуває чималу біль від того, що зашифрувати дані без попиту, і як правило дуже надійно. Шифрування — не панацея, якщо все інше ламається без праці. Тільки комплексний захист інформації, тільки хардкор.

Ось і цього тижня ФБР прозоро намекнулоу скільки обійшовся злом того самого iPhone 5c, про який був суд з Apple. Більше 1 мільйона доларів, приблизно за zero-day уразливість, яка дозволила обійти захист пристрою. Нагадаю, у вересні минулого року суму такого ж порядку обіцяла заплатити за уразливість компанія Zerodium. І начебто сумно як-то: захищай-не захищай, все одно зламають товстосуми. Але гарантувати 100% безпеку даних в принципі неможливо, і по суті будь-який захист намагається лише зробити злом невиправдано дорогим. Так що в контексті історії про iPhone це хороша новина: зламати коштує дорого.

Інші компанії теж не збираються віддавати дані користувача задешево. Принаймні, коли їм самим це не приносить прибутку, одні репутаційні витрати. Запровадити повне шифрування всіх комунікацій на цьому тижні пообещал Viber, вони стверджують, що зможуть бачити лише факт комунікації між двома абонентами (=метадані), але не зміст. І тільки Blackberry продовжує захищати довільний доступ до особистої листуванні за запитом органів. Ніхто особливо не проти, але підхід Blackberry, яка свого часу була піонером захищених мобільних комунікацій, здається застарів.

Далі: особливості злому комп'ютерів через мишу на відстані і як зробити детектор криптолокеров, який то працює, то ні. Предыдушие випуски тут.

Злом комп'ютера через бездротову мишу: дослідники збільшили дальність атаки до 225 метрів
Новина.

Бійці невидимого фронту з компанії Bastille Networks продовжують досліджувати уразливість, через яку поки ніхто нікого не зламав і не збирається. Ця історія почалася в лютому: саме тоді дослідники показали як з допомогою протиприродного використання миші для набору букв і вразливостей в системі авторизації можна зламати будь-який комп'ютер на будь-якій операційній системі. Достатньо авторизуватися (через дірку) на USB-приймач, як миша, без підтвердження користувача, і почати надсилати на комп'ютер символи, як клавіатура. Не треба впроваджувати в систему шкідливий код, достатньо його прямо в системі написати і виконати.



Круто звичайно. Через два місяці дослідники поліпшили свій результат по дальності: використавши копійчане обладнання (не більше $50 за все, вони збільшили дальність роботи з USB-приймачем до 225 метрів з початкових 100. Ніби як загроза стала в два з гаком рази небезпечніше, тоді чому «ніхто не зламав»? Ну, якщо чесно, може ми просто про це не знаємо: піди зрозумій, що сталося в такій ситуації. USB-приймачі (мова не йде про Bluetooth) — це така річ в собі, чорний ящик розміром з роз'єм. До нас в 2016 рік приїхала страшилка з найближчого майбутнього, коли таких свистків у вигляді датчиків, контролерів та іншого буде хоч греблю гати, вони будуть відповідати за наше електрику, воду і корекцію серцевого ритму, але залишаться при цьому чорними ящиками. Точніше, хочеться, щоб було як-то не так, а краще і прозоріше.

Для масової кіберзлочинності подібний метод залишається складним. Припущу, що і для організаторів цільових атак цей метод з розряду екзотики. Поки працюють прийоми простіші, який сенс влаштовувати біганину з антенами? Біда в тому, що багатьом власникам бездротових мишей залишається або поміняти модель, або терпляче чекати, коли вразливістю скористаються. Багато USB-приймачі не лікуються в принципі. Втім, до Logitech, спочатку єдиною компанії, закрила вразливість, нещодавно приєднався Microsoft. І питання на засипку: це ось ми завдяки дослідникам про цю проблему дізналися. А скільки аналогічних провалів на рівному місці залишаються невідомими?

Детектор криптолокеров для Mac OS X і проблеми сприйняття
Новина.

Трояни-шифрувальники бувають різні. Вони використовують різні методи зараження, а іноді навіть покладаються на недалекоглядного користувача, який самостійно авторизує запуск вредосного скрипта. Але є у них одна загальна риса: рано чи пізно вони починають шифрувати файли. Дослідник з компанії Synack Патрік Вардл вирішив скористатися цим очевидним недоліком шифрувальників і написав утиліту Ransomwhere. Вона спрацьовує лише на двох умов: якщо (1) недоверенный процес намагається одночасно (2) зашифрувати багато файлів, які потрібно заблокувати це дія і попросити користувача про підтвердження.

Проблем у такого підходу багато, і про більшість з них дослідник чесно повідомляє у себе в блозі. Один з небагатьох помітних троянів для Mac OS X — KeRanger — поширювався доважком до популярного клієнта Transmission, був підписаний сертифікат розробника і таким чином був довіреною процесом. І це не єдиний спосіб таку утиліту обійти. Спроба зашифрувати дані — це по суті одночасна робота по зміні великої кількості файлів, але детектувати криптолокеры за цією ознакою не можна — буде дуже багато помилкових спрацьовувань. Вардл посилається на якусь математичну магію, а саме підрахунок рівня ентропії даних, який належним чином змінюється при переході файлу із звичайного стан в зашифроване. Але така магія ґрунтується на інформації про типових алгоритмах шифрування, і якщо кіберзлочинець використовує інший алгоритм, або оригінальну їх комбінацію — магія може і буде працювати, а може і ні.

Загалом до утиліті у мене претензій немає: це дослідницький проект, і програма, написана фахівцем для фахівців. Проблема в тому, що ЗМІ (например например #2) представляють це як готове рішення для захисту від всіх криптолокеров у світовому масштабі. Це не так. Реальна захист не може ґрунтуватися на єдиному технічному кунштюке. Концепція хороша (ми її використовуємо), але в ідеалі 98% відсотків криптолокеров взагалі не повинні проходити таку перевірку: їх потрібно блокувати на більш ранніх етапах, від кліка на підозрілий URL до завантаження шкідливого скрипта.

Що ще сталося:
Cisco Talos продовжує вивчати виявлений ними серверний криптолокер Samsam, що використовує уразливість в JBoss. Розкопали вони, на жаль, більше 3 мільйонів потенційно вразливих серверів, включаючи школи (60 тисяч в США) і бібліотеки зі специфічним. Вразливість, до речі, була запатчена 6 років тому.

29% пристроїв на Android не оновлюються досить швидко, щоб вважатися безпечними. У жовтні минулого року небезпечними посчитали 85% пристроїв. Звідки така різниця? Свіжий звіт зроблений самої Google, а 85% нарахували незалежні дослідники, природно за різними критеріями і методиками. У будь-якому випадку виходить занадто багато.

136 вразливостей закрывает новий патч Oracle. З них сім з максимальним рівнем за шкалою CVE.

Давнину:
«Shake»

Резидентний дуже небезпечний вірус. Стандартно вражає .COM-файли поточного каталогу при виклику функції GetDiskSpace (int 21h, ah = 36h). У заражених файлів встановлює час 60 секунд. Перехоплює і не відновлює int 24h. При запуску зараженої програми з імовірністю 1/16 повідомляє «Shake well before use». Перехоплює int 21h.

Цитата по книзі «Комп'ютерні віруси в MS-DOS» Євгена Касперського. 1992 рік. Сторінка 82.

Disclaimer: Дана колонка відображає лише приватна думка її автора. Воно може збігатися з позицією компанії «Лабораторія Касперського», а може і не збігатися. Тут уже як пощастить.

Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.