Security Week 28: Приватність покемонів, критична інфраструктура онлайн, постквантовая криптографія в Chrome

Як, і тут покемони?! А що робити: одним з основних критеріїв вибору значимих новин з безпеки для мене як і раніше є їх популярність на Threatpost. Спосіб не ідеальний, але досить об'єктивний. Якщо в топі знаходиться якась дивна фігня, є привід розібратися, як так вийшло, як наприклад це вийшло з новиною про шкідливий код в метаданих PNG топі 2014 року. Як правило пояснення таких казусів знаходиться не в технічних особливостях загрози, а в тому, як безпека сприймають люди. А це теж цікаво.

Новость про шкідливі програми, що маскуються під Pokémon Go — вона взагалі на 100% про сприйняття, точніше про те, що всі навколо зійшли з розуму. За даними дослідників з Proofpoint, кіберзлочинці скористалися недоступністю гри в офіційних магазинах додатків в ряді регіонів, розраховуючи отримати свої п'ять копійок незаконного прибутку від загальної популярності.

Втім, і в автентичному додатку виявилися проблеми. Дослідник Адам Рів обнаружилпри реєстрації облікового запису в грі користувачам потрібно надати повний доступ до свого облікового запису Google. Тобто розробник гри, компанія Niantic Labs, отримує можливість читати всю поштову переписку, відправляти листи від імені гравця, може викачувати всі документи з Google Drive, дивитися історію пошуку та навігації, і багато іншого. Примітно, що на момент відкриття даного альтернативний спосіб реєстрації, не через Google, просто не працював.
Всі випуски дайджесту доступні по тегу.

Втім, відразу ж з'ясувалося, що доступ можна і скасувати, і на працездатності гри це ніяк не позначиться. Але користувач повинен зробити це сам. Очевидно, що розробники допустили помилку, ніж пізніше і зізналися, пообіцявши все виправити. Розгрібати руїни конфіденційності довелося і в Google: їм доведеться скасувати привілеї для вже зареєстрованих користувачів, так як виробник сам це зробити, мабуть, не може.

Жоден покемон не постраждав. Вся ця історія ще раз доводить: більшості користувачів, м'яко кажучи, байдужі питання приватності. Інакше блискучий старт першої по-справжньому популярною ігри з доповненою реальністю було б зірвано. Але немає. І головне, не варто звинувачувати в цьому гравців, якщо подібні ляпи допускають куди більш обізнані розробники. Розробляти небезпечно, вести себе небезпечно — легко. Зворотне куди складніше. Думаю, що вирішувати цю проблему потрібно не на рівні законодавства (як це зроблено, наприклад, у досить поганому законі про відстеження кук), а на рівні технологій. Необхідність роботи з людьми (навчання практикам безпечної розробки, методів захисту конфіденційності) це, втім, не скасовує.

91% доступних онлайн компонентів індустріальних систем уразливі
Новина. Исследование «Лабораторії».

В інтернеті можна знайти все, що завгодно, просто треба знати, де шукати. Експерти «Лабораторії» використовували доступні всім інструменти, на зразок спеціалізованого пошуковика Shodan, щоб порахувати кількість спеціалізованих пристроїв АСУ, доступних з мережі. Автоматизовані системи управління — це дуже широкий термін, який об'єднує як індивідуальні контролери сонячних батарей, так і системи управління великими і критично важливими об'єктами. Спільне в них одне: світити контролерами в інтернет — не найкраща ідея, і в більшості випадків (коли це не honeypot, конечно) це індикатор неправильної конфігурації системи.

Підготувавши досить довгий список критеріїв, за якими можна ідентифікувати системи АСУ, експерти знайшли більше 220 тисяч таких пристроїв на 188 тисяч хостів. По країнах вони поділяються так:



Подальше вивчення цих пристроїв показало, що абсолютна більшість з них в тій чи іншій мірі схильні до атак. Найбільш часто зустрічається критерій — залежність пристроїв від незахищених по своїй природі протоколів передачі даних. Тобто якщо система управляється віддалено, можливий перехоплення трафіку з мінімальними зусиллями. На 6,3% хостів виявлені системи з більш серйозними уразливими. Найбільше було знайдено контролерів Sunny WebBox (управління сонячними батареями), про яких відомо, що вони містять намертво вшиті паролі доступу.

Основною причиною подібних провалів в безпеці є поширених в індустріальних системах підхід security through obscurity: коли робиться розрахунок на те, що не відомо, які контролери та протоколи використовуються, доступ до них обмежений, а самі системи складні для аналізу навіть для тих, хто володіє документацією. Власне, дослідження показує, наскільки даний підхід поганий.

По-перше, переважна більшість інформації у дослідженні (самі вразливі хости, типи та характеристики вразливостей) отримано з відкритих джерел: ніщо не заважає зробити те ж саме людям з злочинними намірами. По-друге, використання незахищених протоколів згідно з розрахунком на ізоляцію пристроїв від інтернету може вийти боком. Може статися помилка конфігурації, причому складної інфраструктури за налаштування критично важливого сегмента може відповідати один чоловік, а за мережеву безпеку іншої, в результаті проблема вилазить десь на стику повноважень. По-третє, повторю свій висновок з попереднього дайджесту: між «елітними» АСУ і «цивільним» інтернетом речей не така вже велика різниця на рівні заліза і софта. Популярність IoT і пов'язане з цим зростання кількості атак рано чи пізно можуть принести проблеми дуже і дуже серйозних об'єктів інфраструктури.

Google тестує в Chrome постквантовую криптографію
Новина.

Спонсором цієї новини є американське Агентство Національній Безпеці, в минулому році випустило комюніке (кві!), в якому було висловлено сумніви в довготривалої надійності деяких методів шифрування. Детальніше про це я писав ось у цій серії дайджесту. Якщо коротко, то прогрес в області квантової криптографії вимагає впровадження нових стандартів, наприклад, RSA з довжиною ключа 3072 біта. Тобто з одного боку прогресу у створенні квантових комп'ютерів, здатних ламати сучасну стійку криптографію, насправді немає, з іншого боку — АНБ висловлює сумніви. Природно, все це породило масу суперечок і теорій змови, і про них можна почитати у тому ж випуску.

Коротше, Google здається теж щось знає. Сьомого липня вони повідомили про початок експерименту з постквантовой криптографією в браузері Chrome. Конкретно, в девелоперської версії браузера Chrome Canary, у деяких користувачів буде включена система шифрування підключення до серверів Google за допомогою нового алгоритму. Система ж побудована на основі наукової роботи по впровадженню постквантового алгоритму в протокол TLS. Алгоритм названий символічно: "Нова надія".



Розробники пишуть, що експеримент переслідує дві мети. По-перше дати дослідникам поламати практичну реалізацію постквантового алгоритму. По-друге, оцінити швидкість і надійність з'єднання в такій конфігурації. пості команди Google прямо говориться, що «Надію» не планується нав'язувати як новий криптостандарт, але хто знає, хто знає

Що ще сталося:
Оригінальна вразливість wget (хоча здавалося б, як можна зламати wget?).

Обговорення системи шифрування даних в Android триває. До недавнього опису конкретного метода атаки додалася комплексна оцінка системи KeyStore для зберігання криптографічний ключів. Загальний вердикт: ненадійно.

Давнину:
«Гей»

Небезпечний резидентний вірус, стандартно вражає .COM — і .EXE-файли (.COM-файлів змінює перші 6 байт початку: JMP Loc_Virus; DB (?); DW 5555h). В залежності від «покоління» вірусу періодично «жартує» з клавіатурою: при обробці клавіатурного переривання підставляє інший символ. Уповільнює роботу комп'ютера — затримка на int 8. Перехоплює int 8, 16h, 21h. Містить текст: «Гей !!!!!!, I'm Here Activate Level 1».

Цитата по книзі «Комп'ютерні віруси в MS-DOS» Євгена Касперського. 1992 рік. Сторінка 69.

Disclaimer: Дана колонка відображає лише приватна думка її автора. Воно може збігатися з позицією компанії «Лабораторія Касперського», а може і не збігатися. Тут уже як пощастить.
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.