Security Week 21: відмова від паролів, життя стародавніх вразливостей, вірус в мережевому обладнанні

Авторизацію по паролю планують остаточно поховати. Не в перший раз, втім. Півтора року тому похорон начал Twitter, запропонувавши вхід через одноразові коди на мобільний. Приблизно такий же метод закапування паролів частково застосував Telegram, але здається нічого хорошого з цього не вийшло. Тепер паролі ховає Google, і робить це інноваційно, з вогником, ідентифікуючи користувача по «швидкості набору символів, семплом голосу, розташуванню, манерою ходьби, рисами обличчя».

Читав цю новина та не міг позбутися дежа вю. Десь це вже було… А!

Tyrell: this Is to be an empathy test? Capillary dilation of the so-called blush response? Fluctuation of the pupil. Involuntary dilation of the iris…
Deckard: We call it Voight-Kampff for short.

Аааа! У фільмі і книзі люди тестами виявляли роботів, а тут роботи будуть відрізняти людей один від одного. Але принцип той же! Майбутнє настало. Біллі, де моя електрична вівця? Світле майбутнє здається остаточно позбавить нас прямого контролю над власними пристроями, як вже позбавило контролю над даними. Ця та інші інсинуації під катом.
Всі випуски дайджесту – тут.

В загальних рисах проект Abacus був анонсований Google на минулорічній конференції Google I/O, а нещодавно на тому ж заході оголосили, що технологія буде доступна для користувачів вже в кінці цього року. Abacus заснований на вивченні згаданих вище звичок (включаю голос Дроздова) користувача для виставлення якогось Trust Score. Як тільки поведінку користувача змінюється, Trust Score різко падає, і в певний момент пристрій блокується. Trust Score, до речі, планується зберігати безпосередньо на пристрої, на сервери Google він передаватися не буде. Схожу позицію щодо збору біометричних даних займає Apple.

Треба взагалі ховати паролі? Мабуть так, вже пора. Всі минулий тиждень практично повністю складалася з новин про витік паролів, користувачі захищають свої дані надійними комбінаціями а-ля 123321, а компанії регулярно ці паролі втрачають. Менеджерами паролів користується так багато людей, як хотілося б. Час прийшов. Взагалі паролі можна назвати представниками комп'ютерного олдскулу: це такий же пережиток минулого, як наприклад повна довіра між комп'ютерами всередині однієї локальної мережі. Можна піти ще далі і віднести паролі до минаючої епохи старого підходу до програмування електронних обчислювальних машин.



Нещодавно в Wired була опублікована стаття як раз про це. Програмування, як ми його розуміємо, все цілком буде оголошено низькорівневим, а кодери майбутнього швидше займуться тренуванням своїх самообучаемых машин з подальшою реплікацією результатів. Ну як з собаками. Можете називати це пришиванням білими нитками, але я бачу явну зв'язок між розвитком теми машинного навчання та підходом Google до безпеки.

У мене немає сумнівів щодо перспективності проекту Abacus, але ми ж у реальному світі живемо, так? Спочатку все, що тільки можна, піде не так. Сумніви одного з коментаторів до новини на Threatpost цілком виправдані: а що якщо моя поведінка зміниться в силу якихось зовнішніх причин, і мене ні за що відключать від мого ж смартфона? Чому взагалі комп'ютер повинен вирішувати такі речі за мене? Жарт про алкогольний детектор в телефоні, який блокує вихідні і чатик, здається перестає бути жартом. Чудовий новий світ! Радує тільки те, що престиж тих, хто реально розбирається в таємниці всіх цих розумних систем, буде тільки зростати. Одночасно зі складністю самих систем, звичайно.

Торішня уразливість в Microsoft Office використовується мінімум шістьма угрупованнями для цільових атак
Новость. Исследование.

Експерти «Лабораторії» опублікували досить незвичайне дослідження, присвячене використанню серйозної уразливості в Microsoft Office. Незвичність полягає в тому, що вразливість була виявлена закрита ще у вересні минулого року, і в швидко мінливому ландшафті погроз це еквівалентно минулого століття: виявили, запатчили, передбачили захист, поїхали далі. На жаль, на етапі накочування патчів виникають проблеми. У всіх деталях показано, що уразливих систем величезна кількість, причому в інфраструктурі структур, вкрай уразливих перед таргетированными атаками.

Вразливість, закрытая апдейтом MS15-099, зачіпає версії Office з 2007 по 2013 і дозволяє виконати довільний код, якщо змусити користувача відкрити підготовлене зображення у форматі EPS. Влітку минулого року ситуація з цією дірою пішла по поганому сценарієм: реальні атаки були виявлені ще в серпні, до випуску патча. Як видно, і патч не сильно допоміг. У числі жертв — безліч компаній і держструктур в Азії. Експлойт використовувався мінімум шістьма різними угрупуваннями, з них чотири діють і понині. Як завжди, все починається з дуже правдоподібного фішингової листи.



Лист відправляється анонімно через open relay поштовий сервер, від «потрібного» адресата з підготовленим аттачем. В іншій атаці використовується корпоративний сервер — тобто атака ведеться вже з завойованого плацдарму в інфраструктурі жертви. Паралельно виявляються зв'язки між різними атаками, наприклад одна з виявлених угруповань схоже ділить інфраструктуру з кампанією Adwind, націленої на фінансові організації в Сінгапурі. Непропатченный Microsoft Office дуже часто стає вхідними воротами для цільових атак, а з недавнього часу його стали використовувати б'ють по площах автори криптолокеров (ось тут є цікава новина про черговий хитрий метод зараження через макроси). Висновок з цього простий: не треба давати шансу атакуючим використовувати хоча б відомі і закриті уразливості. Патчити — добре.

Вірус атакує мережеві пристрої Ubiquiti
Новина.

Ще одна новина про користь патчів. Дослідники з фірми Immunity виявили досить дивний вірус, що вражає мережеві пристрої Ubiquiti (наприклад моделі airMAX M, airMAX AC, ToughSwitch, airGateway і airFiber). Функціональність у нього відповідає скоріше прикладів з «Старожитностей», ніж сучасним зловредів: використовуючи уразливість в пропрієтарної AirOS він стирає конфіги і замінює користувальницькі юзернеймы на матюки. Зрозуміло, що навіть такі дії завдають відчутної шкоди компаніям-власникам, але наслідки злому мережевих маршрутизаторів і точок доступу можуть бути набагато страшнішими.

Проблема в тому, що уразливість зачіпає версії AirOS 5.6.2 і більш ранні, і взагалі була закрита рік тому. Не всі змогли за цей час оновити прошивки своїх пристроїв. Чому я не здивований? Мабуть з усіх потенційно уразливих точок інфраструктури мережеві пристрої являють найбільшу небезпеку в разі злому: це по суті ключі від обгородженого периметра. Представники вендора втім стверджують, що атакованих пристроїв було небагато і надають постраждалим утиліту для приведення мережної апаратури в почуття.

Що ще сталося:
TeslaCrypt — . Автори одного з найбільш помітних криптолокеров вибачилися і опублікували майстер-ключ для розшифровки даних.

Історія зі зломом фінансової мережі SWIFT триває. Крім центробанку Бангладеш постраждала фінансова організація в Еквадорі. Представники SWIFT, в свою чергу, перестали робити вигляд, що їх це не стосується, і почали ділитися інформацією про атаки, хоча і в закритому вигляді.

Виявлений зовсім нещодавно зиродей в Adobe Flash вже узятий на озброєння трьома експлойт-паками.

Давнину:
Сімейство «Amz»

Нерезидентні дуже небезпечні віруси, що інфікують .COM — і .EXE-файли (або тільки EXE — «Amz-600») при запуску зараженого файлу. Змінюють перші 13h байт COM-файлів на програму переходу на тіло вірусу. Містять коротке слово: «AMZ». В залежності від версії перуть сектора FAT або всіх логічних дисків від A до Z: (якщо такі присутні), або поточного диска при умовах:

«Amz-600» — якщо номер дня тижня збігається з номером дня місяця;
«Amz-789» — 24 вересня з 0:00 до 7:00 ранку;
«Amz-801» — 13-го лютого о 13 годині.

Цитата по книзі «Комп'ютерні віруси в MS-DOS» Євгена Касперського. 1992 рік. Сторінка 23.

Disclaimer: Дана колонка відображає лише приватна думка її автора. Воно може збігатися з позицією компанії «Лабораторія Касперського», а може і не збігатися. Тут уже як пощастить.
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.