Security Week 22: Microsoft проти паролів, судові неув'язки з Tor, криптолокер атакує клієнтів Amazon

Google ховає паролі, а Microsoft — ні. Нагадаю, у попередньому випуску я розповів про світле майбутнє у вигляді проекту Google Abacus — спірну, але досить прогресивну систему ідентифікації користувача по його поведінці (aka я пам'ятаю всі твої тріщинки). Майже одночасно до бесіди про паролі приєдналася компанія Microsoft, але виступилановина, скажімо так, з позицій традиціоналізму та ортодоксальності. Конкретно, пост в блозі розробників Active Directory присвячений боротьбі не з усіма паролями, а тільки з поганими.

Microsoft можна зрозуміти: вона працює на ринку корпоративного ПЗ, а там інновації приживаються убивчо повільно (повз тремтячих понівечених рук; так що у мене сьогодні таке з пісенними асоціаціями?!). Очевидно, що з абакусом або без нього, з паролями ми будемо мати справу ще довго. Так от, за словами представника Microsoft, типові підходи до забезпечення стійкості паролів, такі як вимоги до довжини пароля, наявності спецсимволов і регулярній заміні — не працюють. Більше того, вони спрощують завдання злому: огороджені з усіх боків парканчиками політик, користувачі задають і оновлюють свої паролі вкрай передбачуваним чином. Якщо, наприклад, поставити паркан вище (задати поріг мінімум в 10-15 символів), співробітники починають повторювати одне і те ж слово кілька разів поспіль. Не ок.

Як багаторічний офісний трудівник Ворда, не можу не погодитися. Браво! Але не впевнений, що пропоноване компанією рішення порадує мене саме як співробітника. Microsoft працює з величезною кількістю облікових записів в купі користувача та корпоративних сервісів, і вирішила використовувати інформацію про те, як ці записи намагаються зламати (10 мільйонів атак в день!). В результаті ми отримуємо функцію Dynamically Banned Passwords. Будучи впровадженою в корпоративному оточенні, ця фіча не дозволить співробітнику задати пароль, про який точно відомо, що він (1) слабкий і що (2) лиходії вже намагалися (можливо успішно) зламати такий же (або подібний) пароль десь ще.

Так собі і уявляю: підходить час введення нового пароля, і починається. Менше 15 символів не можна, без спецсимволов не можна, кілька однакових цифр поспіль не можна. А тепер в деяких випадках просто не можна і все тут! Поганий пароль, думай краще, мережевий трудівник! Креативніше! Яскравіше! Гостріше! На щастя, така функція поки доступна тільки клієнтам хмарного сервісу Microsoft, і то у вигляді обмеженого бета-тесту. З точки зору безпечника це правильна ідея: всіх проблем вона не вирішить, але теоретично може запобігти сценарій, коли у співробітника спочатку ламають обліковий запис де-небудь, а потім заходять в мережу компанії з тим же паролем. Для цього бажано не обмежуватися збором експертизи в межах сервісів однієї компанії, нехай і великий. Але кооперація між гравцями в індустрії ІБ — це зовсім інша історія.

Американський суд відмовився прийняти як доказ дані, зібрані завдяки злому Tor
Новина.

Після завершення судових баталій між Apple і ФБР тема інфобезпеки в контексті судових розглядів пішла на другий план, але ненадовго. Набагато більш тривалий процес по кримінальній справі про зберіганні дитячої порнографії на цьому тижні отримав несподіваний розвиток. Втім, почнемо з початку. 62-річний підозрюваний був арештований ще в минулому році в Сіетлі. На думку звинувачення, він завантажував дитяче порно з сайту Playpen, доступного тільки в дарквебе, з використанням браузера Tor. У якийсь момент ФБР заволоділа серверами сайту і розмістило на них експлойт, що дозволяє з'ясувати реальний адресу комп'ютерів декількох десятків користувачів. Інше було справою техніки.

Але в ході судового розгляду щось пішло не так. Адвокати обвинуваченого зажадали розкрити технічну інформацію про експлойт (в термінах ФБР це називається «техніка мережевого розслідування», network investigative technique). Причину знайшли оригінальну, але залізобетонну: якщо мова йде про злом комп'ютера (а як ще можна було розкрити реальний IP?), то це означає віддалене управління комп'ютером без відома власника. А якщо так, то може він не сам качав кримінал, а йому допомогли? Ні, звичайно не ФБР (ні в якому разі), але зламаний комп'ютер взагалі доступний всім з мінімальним набором умінь. А дарквеб — таке місце, там взагалі небезпечно, знаєте.

ФБР деталі розкривати відмовилося, що цілком очікувано. Нагадаю, у справі Apple проти ФБР громадськість також не дізналася, як зламали айфон терориста. Логічно: якщо кожен раз розповідати , то зламувати пристрою в слідчих цілях буде все складніше і складніше. І справа не в дитячій порнографії і конкретному підозрюваного: судовий розгляд — чергове в серії спроб визначити де закінчується розслідування і починається кибервзлом. Повинні держструктури ділитися експлойта з розробниками софта, щоб ті могли закривати дірки? Раніше це питання задали ФБР розробники Mozilla, так як їх код використовується в Tor, і є ймовірність, що уразливість якраз на їхньому боці. І їй можуть бути піддані десятки мільйонів ні в чому не винних користувачів.

В результаті вийшла ситуація, зворотна кейсу Apple/FBI: тут у ФБР щось вимагають, а організація не хоче це щось давати. Можливості натиснути на ФБР у судді мабуть не було, тому було прийнято таке рішення: якщо ФБР не розкриває деталі, то докази, зібрані з допомогою експлойта, не приймаються.



Продовжуємо стежити за розвитком подій.

Клієнти Amazon атакуються зараженим спамом з криптолокером всередині
Новость.

Якщо десь у надрах мережевий кіберзлочинності і є план поширення криптолокеров, то його явно писав менеджер, а не технар. З технічної точки зору трояни-шифрувальники залишаються в масі своїй досить примітивними, а основна небезпека криється в методах поширення. Тут і criminal-to-criminal торгові мережі, де можна отримати кастомный шифрувальник занедорого, і «партнерські програми», ну і звичайно грамотний копірайтинг в фішинг — головному способі проникнення на комп'ютер жертви.



На цьому тижні новину про креатив. Дослідники компанії Comodo зафіксували широкомасштабну розсилку спаму клієнтів Amazon. Повідомлення мімікрує під стандартну розсилку інтернет-магазину: «ваш заказ був відправлений». Відправник підроблений, тіло листа порожнє, в аттаче — заражений документ Microsoft Word. Загалом, треба постаратися, щоб заразитися, але масштаб атаки і, на жаль, неуважність користувачів, гарантують — жертви будуть. Викуп у Locky становить від 200 до 500 доларів. Про технічні особливості трояна можна почитати тут.

Що ще сталося:
Зіро-дей для Windows продають за 90 тисяч доларів. В Росії теж хочуть торгувати експлойта.

Дві уразливості Google Chrome.

Арешти киберграбителей в Росії: новина, исследование експертів «Лабораторії».

Давнину:
Сімейство «Advent»

Нерезидентні віруси, зашифровані, при запуску вражають .COM — і .EXE-файли. .EXE-файли уражаються стандартно, в .COM-файлів змінюють перші 23h байт на початку коди переходу на тіло вірусу.

Не активізуються, якщо в ENVIRONMENT присутній рядок «VIRUS=OFF» (для «Advent-2764») або «SYSLOCK=@» (для «Advent-3551»). «Advent-2764» починаючи з середини листопада проявляється привітанням «MERRY CHRISTMAS!» у комплекті із простими картинками, що з'являються під акомпанемент не менш простенької музики. «Advent-3551» замінює в секторах дисків рядок «Microsoft» на «Macrosoft».

Цитата по книзі «Комп'ютерні віруси в MS-DOS» Євгена Касперського. 1992 рік. Сторінка 21.

Disclaimer: Дана колонка відображає лише приватна думка її автора. Воно може збігатися з позицією компанії «Лабораторія Касперського», а може і не збігатися. Тут уже як пощастить.
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.