Security Week 18: VirusTotal за справедливість, вразливість в Android, витік токенів Slack

Почнемо випуск з зовсім свіжої новини, яка, втім, має лише непряме відношення до ландшафту загроз. 4 травня в блозі сервісу VirusTotal, нині належить Google, з'явилася зовні непримітна запису. Сервіс, що дозволяє агрегувати інформацію про вердикти різних антивірусних движків, тепер буде по-іншому «віддавати» інформацію про детектах. Тепер для того, щоб одержувати дані про задетектированных файли автоматично, з допомогою API, потрібно в обов'язковому порядку підключати свій власний продукт до системи VirusTotal.

Чому це важливо? Спочатку VirusTotal був проектом для дослідників: визначити, детектують захисні рішення певний файл — означало заощадити час і витратити його на більш цікаві речі. По мірі зростання сервісу з'явилися і нові можливості: інформація про те, коли був завантажений файл іноді також могла багато чого підказати про його призначення і походження (особливо, якщо файл завантажувався постраждалим користувачем, а то й самим автором шкідливої програми). Зараз через VirusTotal проходять мільйони файлів: за останні сім днів 1,2 млн, з яких 400 тисяч задетектированы одним або кількома антивірусними движками.

Коротше, якщо є доступ до цієї інформації, то тільки на її основі можна створити своє, досить непогано працює типу захисне рішення. Або, як мінімум, отримати несправедливу перевагу, отримуючи від індустрії дані, але не віддаючи нічого назад. Not anymore. У пості VT наводиться цікавий набір правил використання сервісу, де його творцями критикується пара усталених міфів. Детальніше про них — під катом.
Всі випуски дайджесту доступні по тегу.

Почнемо з самого жирного натяку: «VirusTotal не може бути використаний в якості заміни антивірусному рішенням». Далі докладніше: дані VirusTotal (як беруть участь у проекті вендори детектують файли) не повинні використовуватися в якості єдиного критерію оцінки для створення сигнатур. Ще важливіше: VirusTotal не повинен використовуватися для порівняння ефективності захисних рішень. Даний сервіс призначений саме на роботі антивірусних движків. Його творці прямо кажуть, що правильні захисні рішення антивірусним движком не обмежуються — тобто якщо VirusTotal показує, що антивірус такий-то не детектує конкретний файл, це зовсім не означає, що рішення не зможе заблокувати загрозу.

Нарешті, для отримання даних з VirusTotal претенденти повинні не тільки надати свій антивірусний движок, але й активно брати участь у незалежних тестувань за стандартами AMTSO. Дану практику підтримує практично вся індустрія захисних рішень, за винятком компаній, які з якихось причин не хочуть публікувати результати порівняння ефективності своїх рішень. Ну зрозуміло по яким. Загалом, це така важлива виробнича новину. VirusTotal виявився однією з точок обміну даними між конкуруючими один з одним компаніями. Такий обмін дуже цінний, і нововведення в сервісі виправляють невеликий перекіс в його роботі, по суті виключаючи можливість користуватися інформацією, не віддаючи нічого натомість.

В Slack виявили амазоноподобную діру в безпеці
Новина. Исследование.

Slack — популярна платформа для групового спілкування, яку використовують багато компаній, включаючи найбільші. Крім різноманітної функціональності для колективних чатів, сервіс дозволяє підключати «ботів» — як готових, так і написаних клієнтом самостійно. Боти значно розширюють можливості Slack, додаючи в нього і самі тривіальні опції на зразок імпорту RSS і складну функціональність — вимкнути сервер, оповіщати співробітників про збої в сервісі, повідомити погоду за вікном.

«Вразливість», виявлена дослідниками компанії Detectify Labs, виявилася тривиальнейшей. Код деяких ботів викладається на GitHub, і в цьому коді можна знайти маркер для доступу до робочої середовищі групи користувачів або компанії. Як виявилося, токен дає доступ практично до всієї інформації всередині групи: чатах, файлів і так далі. Загалом, неодноразово описані граблі, наприклад, викладанням ключів до машин в Amazon EC2, як і раніше користуються популярністю.



У Slack цілком резонно відреагували на знахідку в стилі «це не баг, це фіча», і це дійсно так. Не всім ботам потрібно давати повний доступ, але декому необхідно, і нічого тут не поробиш. Компанія в результаті провела свій власний аудит коду на GitHub і розіслала повідомлення всім проштрафилися. Висновок тут зрозумілий: хардкодить ключі — це дуже, дуже погано. Цікавий у всій історії і такий момент: якими б суворими не були заходи безпеки всередині периметра компанії, такі сервіси як Slack, опиняються поза його, і величезний потік вкрай чутливих даних виходить з-під контролю. І адже навіть забороняти не допоможе: внутрішньокорпоративні захищені сервіси дуже часто начисто програють публічним по зручності.

Чергова вразливість в Android дозволяє по-тихому протягнути експлойт в легітимному додатку
Новина. Исследование.

Компанія FireEye рапортує про нової серйозної уразливості, виявленої в різних версіях Android, від 2.3 до 5.0, хоча найбільшої небезпеки піддаються смартфони і планшети з Android 4.3 і більш ранніми версіями — тобто якраз ті, які швидше за все ніхто оновлювати не буде. Вразливість, якщо коротко, дозволяє обійти обмеження системи на доступ до даних і через одне місце (конкретніше, через мережевий демон) вкрасти, скажімо, інформацію про SMS.



Судячи з усього, вразливість була занесена в кодову базу Android Open Source Project компанією Qualcomm (вона ж надала патч), тому і схильні в першу чергу пристрої на базі заліза від цього виробника. Але не обов'язково: код мережевого демона netd (раніше network_manager) відкритий і може використовуватися ким завгодно. Загалом, дірка виявилася так вигідно розташована, що скористатися нею може будь-який додаток, запитуюча доступ до мережі, тобто кожне перше. В результаті шкідливий додаток (або легітимний, але з додатковою «фичей») може отримати ті ж права доступу до даних, що і системний користувач «radio». Саме тому починаючи з Android 4.4 шансів здобути корисну інформацію таким способом небагато: безпека була посилена, а права мережевих процесів (включаючи netd) урізані.

Випадків експлуатації уразливості поки не помічено: на щастя, більшість дірок в Android поки лише натякають на те, що треба щось робити з фрагментацією платформи. Але нічого позитивного в цьому напрямку не відбувається: по суті регулярні security-апдейти отримують тільки «власні» пристрої Nexus. статье про уразливості в ArsTechnica є один показовий коментар з цього приводу: поки на платформі Android не станеться масове зараження а-ля епідемія Slammer на Windows, нічого й не зміниться. Хочеться сподіватися, що до цього не дійде.

Зате вірусописьменники, як завжди, в авангарді прогресу: черговий крадущий дані троян распространяется під виглядом системного апдейта для Android.

Що ще сталося:
Дві дуже серйозні уразливості в OpenSSL.

Закрита велика діра в Office 365.

Давнину:
Сімейство «Anti-Pascal»

Сімейство з п'яти дуже небезпечних нерезидентних вірусів. Заражають або псують не більше двох файлів у всіх каталогах на поточному диску диску C:. При пошуку незаражених файлів використовується рекурсивний обхід дерева каталогів. Заражають .COM-, .BAK — і .PAS — файли. У разі .COM-файлу вірус записується в його кінець (версії вірусу довжин 400, 440 і 480) або початок (залишилися версії вірусу). При зараженні .BAK — і .PAS-файлів записується в початок файлу, при цьому старе початок не зберігається, тобто файл виявляється безповоротно втрачений. Деякі версії вірусу перейменовують .BAK — і .PAS-файли .EXE.

Цитата по книзі «Комп'ютерні віруси в MS-DOS» Євгена Касперського. 1992 рік. Сторінка 24.

Disclaimer: Дана колонка відображає лише приватна думка її автора. Воно може збігатися з позицією компанії «Лабораторія Касперського», а може і не збігатися. Тут уже як пощастить.

Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.