Security Week 27: обхід шифрування в Android, воскресіння Conficker в медицині, IoT ботнет

Пам'ятайте уразливість в Android Mediaserver? Ті, хто в темі, спочатку попросять уточнити — яка саме вразливість мається на увазі. Дійсно, в Mediaserver було багато уразливостей, починаючи з пріснопам'ятної Stagefright, обнаруженной в минулому році дірі, що дозволяє отримати контроль над телефоном після відправки єдиного підготовленого MMS-повідомлення. Сьогодні поговоримо про інший уразливості, обнаруженной у травні компанією Duo Labs. Тоді повідомлялося, що уразливість зачіпає тільки смартфони на апаратній платформі Qualcomm, що, втім, еквівалентно 60% всіх Android-пристроїв.

На відміну від Stagefright, цю дірку складніше експлуатувати: потрібно все ж завантажити на пристрій шкідливе пропозиція, яка може отримати повний доступ до системи, користуючись дірками одночасно в Mediaserver і модулі Qualcomm Secure Execution Environment. Останній відповідає за ключові аспекти захисту системи і даних, в тому числі за шифрування. Спочатку була показана можливість отримання системних привілеїв, але шифрування дана уразливість не стосувалася.

Тепер — стосується. Ті ж експерти з'ясувалиновость исследование), що аналогічний набір недоліків дає можливість підібрати ключ до зашифрованих даних методом брутфорс-атаки. Як і в iOS, Android передбачена захист від перебору паролів, встановлені обмеження по частоті спроб і їх кількістю, але саме їх і вдалося обійти.
Всі випуски дайджесту доступні по тегу.

Потенційні наслідки такої знахідки широкі й багатогранні, особливо викликає тривогу програмно-апаратна суть нової уразливості. Якщо абстрагуватися від тонкощів технічної реалізації, з'являється можливість розшифрувати дані на будь-якому смартфоні на базі заліза Qualcomm, навіть якщо на програмному рівні вразливість закрита. Швидше за все, просто так влаштувати брутфорс-атаки на будь-якому пристрої не вийде, потрібно співпраця з виробником, але правоохоронні органи така співпраця організувати зможуть. Добре це чи погано — предмет для окремої дискусії, але зараз мова йде про те, що реалізація системи шифрування даних на помітної частини пристроїв під управлінням Android далека від ідеальної.

Древній черв'як Conficker використовується для атак на застарілий софт медичних пристроїв
Новость. Дослідження TrapX Labs.

Індустрія IT, як в софтової своїй частині, так і в залізній рухається вперед під впливом морквини заробітку спереду і батога небезпеки швидко старіють продуктів ззаду. Одне з моїх Android-пристроїв працює на версії ОС 4.4, і так і буде на ній працювати далі — апдейтів немає. Знаючи наперед про кількість наявних в системі багів, я намагаюся на пристрої нічого критично важливого не зберігати. Хто знає, може, безпека згодом стане основною мотивацією для апгрейда, більш важливою, ніж нові фічі, приріст продуктивності та інше. Вкотре вже задаюся питанням — а чи не безпечніше використовувати зовсім вже стародавні пристрої на кшталт смартфонів Nokia на Symbian: їх-то вже давно забули як ламати, так і ламати особливо нічого. Втім підхід «security through obscurity» ще жодного разу нікого не врятував, та й незручно.



З усіх, кхм, IT-залежних галузей народного господарства медицину вже давно вважають однією з найбільш уразливих. По-перше, там зберігається і обробляється дуже чутлива інформація. По-друге, оновлення IT в традиційно погано фінансуються лікарнях стоїть десь на передостанньому місці в списку пріоритетів. По-третє, комп'ютеризовані медичні прилади мають характеристики, схожі з обладнанням на виробництві: дуже дорогі, дуже живучі і не дуже часто оновлювані. Ну і критично важливі як для роботи медустанов, так і для порятунку життів.

Виявилося, що згадати здавалося б вже давно забуті прийоми атаки на застарілий софт дуже просто. Достатньо взяти старий шкідливий код і перекваліфікувати його на вирішення нових завдань. Дослідження TrapX наводить приклад саме такої реальної атаки. Застарілі (програмно) медичні пристрої атаковались цілеспрямовано, використовувалися в якості «вхідних воріт» в інфраструктуру організації. Ключовим елементом атаки був черв'як зразка 2008 року Conficker (він же Kido), який свого часу вразив мільйони уразливих систем на <a href=«ru.wikipedia.org/wiki/Conficker>Windows XP. У сучасній атаці Conficker використовують для первинного зараження. Далі задіюються усі ж більш сучасні методи поширення по мережі і эксфильтрации даних.

І адже навіть не вийде порекомендувати «оновити» — накочувати патчі на який-небудь томограф, без схвалення вендора, але з високою ймовірністю виходу пристрою з ладу ніхто не стане. Або треба враховувати наявність у мережі таких застарілих систем (в «Лабораторії», наприклад, є сучасний продукт, здатний працювати на системі з 256 МБ пам'яті), або ізолювати їх від гріха подалі від всього іншого. Наслідки злому медичних установ можна оцінити на прикладі однієї з резонансних новин минулого тижня — про витік 655 тисяч записів про пацієнтів декількох клінік, виставленої на продаж в дарквеб.

Виявлений ботнет з IoT пристроїв, здатний провести DDoS-атаку потужністю до 400 гігабіт в секунду
Новость. Дослідження Arbor Networks.

У лютому на конференції RSA, одному з важливих галузевих заходів по темі інфобезпеки, про захист IoT висловлювалися всі. Говорили про важливість, необхідність захисту, а між рядків натякали, що цей напрямок роботи сб якось не дуже чітко визначено. Дійсно, що розуміти під IoT? Чайники? Холодильники? Ардуїнов? Розумні годинник з вайфай? Вебкамери? Власне, під критерії IoT потрапляють усі ці пристрої, і ще кілька десятків категорій. Спробую узагальнити: все, що працює автономно, являє собою для користувача або адміністратора мережі чорний ящик, з не дуже зрозумілими можливостями, пропрієтарним залізом і часто софтом одній із сотень можливих модифікацій. Тобто цілком можна включити сюди індустріальне обладнання. Мова може йти не тільки про веб-камери, але і про світлофорах, розумних лічильники води, контролерах сонячних панелей. Так про тих же медичних приладах, до речі. Характеристики ті ж, що і нові технології захисту критично важливих інфраструктурних об'єктів цілком можуть бути застосовані до домашньої мережі з десяток розумних пристроїв.

загалом, в лютому я написав, що захист IoT — справа нехай і не далекого, але майбутнього. У сенсі, є ще час до того моменту, коли вони почнуть використовувати основна перевага інтернету речей — а саме величезна кількість пристроїв — в злочинних цілях.
А ось і ні, майбутнє вже настало. Перший дзвіночок пролунав минулого тижня — коли виявили ботнет з 25 тисяч відеокамер. Масштаб втім був малуватий, але на цьому тижні дослідники з Arbor Networks показали правильний розмір.

Організатори ботнету Lizardstresser, судячи з усього, вже досить давно займаються цим кримінальним бізнесом. В минулому році був замечен ботнет, що складається в основному з домашніх роутерів. У цьому році під удар потрапили автономні веб-камери. Їх інколи невиправна небезпечність відома давно. Прошивки застарілі і дуже рідко оновлюються, а користувачі забувають міняти дефолтні логін і пароль. Зламати їх просто (для атаки на більшість пристроїв в конкретному випадку використовувалася брутфорс-атака на незакритий зовні інтерфейс telnet), складніше організувати купу дрібних пристроїв. Це досягається з допомогою розподіленої мережі з десятків командних серверів. В результаті вийшла структура, здатна проводити DDoS-атаки потужністю до 400 гігабіт в секунду. За даними дослідників, жертвами таких нападів стали кілька бразильських компаній і пара організацій з США.

Це ще не зовсім справжній IoT-кримінал, як і веб-камери — досить спірні представники цієї нової категорії пристроїв. Чекаємо ботнет з мільярдів лічильників води і датчиків освітлення. Ось тоді буде весело. Тобто сумно.

Давнину:
«Wisconsin-815»

Нерезидентный дуже небезпечний вірус, записується в початок .COM-файлів (крім COMMAND.COM) поточного каталогу. У зараженому файлі вірус заводить лічильник, при кожній спробі зараження файлу збільшується на 1, при четвертій спробі зараження виводить на екран текст «Death to Pascal» і видаляє всі .PAS-файли поточного каталогу. Перед видаленням кожного файлу виводить на екран точку.

Цитата по книзі «Комп'ютерні віруси в MS-DOS» Євгена Касперського. 1992 рік. Сторінка 95.

Disclaimer: Дана колонка відображає лише приватна думка її автора. Воно може збігатися з позицією компанії «Лабораторія Касперського», а може і не збігатися. Тут уже як пощастить.
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.