Security Week 31: новини з Blackhat

Навіть якщо на цьому тижні відбудеться якийсь супермегавзлом, його ніхто не помітить, так як всі або майже всі причетні до світу інформаційної безпеки знаходяться в Лас-Вегасі, на конференції BlackHat. Одне з ключових заходів індустрії традиційно збирає саме дослідників. Відповідно, конференція говорить про проблеми, але майже не обговорює рішення. І не тому, що рішень немає, просто такий формат. Цікаво, що на роль конструктивного зборів про методи захисту претендує лютнева RSA Conference, але і там поки спостерігається певний розрив шаблону: через кулуари бізнес-мітингів із застосуванням термінів «митигация», «комплексна стратегія», «методика реагування на інциденти» рано чи пізно хтось пробігає в худі з гучним криком «ААААА, ВСЕ ПРОПАЛО!1».

Мабуть, це нормально: бізнес щодо IT-безпеки пропонується між морквою всеохоплюючої захисту і тачанкой кіберзлочинності. Так і рухається, вмотивовану і підганяли, в бік світлого майбутнього безпечного инфопространства. Сьогодні я дозволю собі відійти від звичного формату і розповім про деяких цікавих доповідях з BlackHat. Пост не претендує на повноту, конференція ще триває: перше і друге вже подали, але компот долетить вже наступного тижня.

tl;dr Зламали автомобілі, шифрування, Android, пошту, кредитки, всіх обдурили зараженими флешками. Інтернет був зламаний давно, за минулий звітний період не починился.
Всі випуски серіалу доступні по тегу.

Нігерійський скам з поломкою пошти та підробленими інвойсами
Новость.

Нігерійські шахраї — це не тільки листи від вдови передчасно покійного президента бантустана. Компанія Dell Secureworks розповіла на Blackhat про трохи більш складною схемою. Шахрайство починається зі злому сервера якої-небудь компанії, після чого починають відслідковуватися повідомлення від контрагентів. У разі якщо в листуванні зріє угода на велику суму, в певний момент в листування входять шахраї починають пропускати повідомлення від покупця до продавця через себе. Як правило, для цього використовувався самий примітивний спосіб: на зламаному сервері заводили поштовий акаунт, з мінімальним відзнакою в написанні від оригінального.

У підсумку покупцеві підсовується підроблений інвойс, гроші отримують шахраї, після чого група йде в туман. Цікаво спостереження про складність атаки: вона то нульова, то негативна. Відстежити діяльність групи вдалося завдяки помилку одного з учасників: він випадково зараження шкідливою програмою сам себе. Як з'ясувалося, у всій організації тільки одна людина хоч щось розумів в кібератаках, всі інші займалися поденною роботою — розсилали фішинг і займалися креативним гуглением. За даними ФБР, всі атаки, пов'язані з компрометацією пошти, принесли в минулому році збиток в 3 з гаком мільярди доларів.

Крадіжка печеньок з-за погано впровадженого HTTPS
Новость. Дослідження.

Недовнедрение HTTPS веде до крадіжки персональних даних, попереджають американські дослідники. Власне, вони виявили на безлічі сайтів, включаючи, наприклад, Amazon, eBay і Target абсолютно капітанську вразливість. HTTPS часто впроваджується або не повністю, або закриває тільки процес авторизації. Це добре, так як передавати паролі у відкритому вигляді зовсім не ОК, але передача відкритим текстом будь-яких приватних даних в наш неспокійний час представляє проблему.



Власне, за допомогою поширених сніффер трафіку дослідники змогли виявити безліч приватних даних незахищених транзакції: мейли, список контактів, фрагменти приватної переписки і, звичайно, куки. Останнє особливо сумно: крадіжка кук в деяких випадках допомагає обійти пароль авторизацію, так, що ніякої HTTPS не допоможе. Власне, а який відсоток трафіку в мережі зараз зашифрований? Дослідники відповіли на це питання, запустивши ноду Tor і проаналізувавши місячний трафік на точці виходу. Зашифрованими виявилися всього 25% даних, три чверті передавалися відкритим текстом. Власники сайтів були повідомлені, та й проблема потихеньку вирішується, завдяки концепціям HTTPS Everywhere і HSTS.

А поки вирішуємо цю проблему, можна замислитися над наступною: деанонимизировать користувачів можна і по поведінці. В тему до цього недавнє обсуждение про можливості використання капчі Cloudflare для ідентифікації користувачів Tor.

В Google порівнюють Stagefright з місією «Аполлон 13»
Новина.

Торішній Blackhat отметился дослідженням за серйозної уразливості Stagefright в Android. В цьому році Google говорить про те, як ця вразливість вплинула на методи розробки в компанії, порівнюючи виявлення дірки з місією «Аполлон 13» — це коли в американців по дорозі на Місяць все зламалося, але вони героїчно полагодили що змогли і повернулися (ну якщо хто не в курсі).

В одному з небагатьох позитивних виступів, Нік Кралевич, глава команди Android Platform Security, сказав дуже важливу річ. Коли ламають — це, загалом-то, добре, якщо уразливості вчасно чиняться, а досвід використовується в подальшому для розробки більш безпечного софту. Це краще, ніж повна відсутність повідомлень про дірки в якомусь софті. Втім, впроваджувати безпечний підхід треба не тільки розробку, але і в бізнес-модель, а ось з цим в Android проблеми. Але є цікавий момент: після того, як незалежний дослідник виявив кілька сотень додатків, передавали дані (приблизно до своїх серверів) відкритим текстом, Google впровадила систему перевірки, яка такі небезпечні аппы просто відключає, до перевиховання.

Нові автооткровения від дослідників Кріса Валасека і Чарлі Міллера
Новина.

У минулому році це теж була новина номер один: дослідники Міллер і Валасек виявили спосіб перехоплення керування автомобілем віддалено, за допомогою вразливості в мультимедійній системі. В цьому році експерти поділилися новими знахідками, але оголосили, що автодырами відтепер більше займатися не будуть (все знайшли?). На Blackhat були показані результати дослідження того ж автомобіля (власного Jeep Cherokee дослідників), що і в минулому році.



Вони змогли перехопити керування рульовим колесом і ручним гальмом, в останньому випадку знайшли спосіб блокувати його постійно, так, що зняти машину з ручника можна було тільки після перепрошивки. Все завдяки підміні коду блоку електронного управління. Для маніпуляцій кермом під час руху вдалося змусити блок працювати в діагностичному режимі — він і передбачав різкі несанкціоновані повороти. Жахливо? Не зовсім. Це офлайнова атака, для якої потрібно підключитися до діагностичного роз'єму. Ніякого WiFi (і то добре). Рішення проблеми є: потрібна IDS-система або хоча б верифікація коду. Біда в тому, що в автоіндустрії виробничий цикл триває роками і десятиліттями, і так просто апдейт накотити не вийде. Втім, поки все непогано. Такі знахідки — це тривожний дзвінок з майбутнього, де всі машини їздять на автопілоті. Ну, те саме майбутнє, яке настане раптово зовсім скоро, то вже настав.

Коротко:
Цікавий експеримент провели в кампусі університету штату Іллінойс. Дослідники розкидали по території майже 300 флешок, на кожну помістили кілька HTML файлів — якщо хтось їх відкривав у браузері, цей факт фіксувався в серверних логах. Дуже просто і ніякої малварі. 48% флешок хтось підібрав і навіть досліджував. В середньому від «втрати» до спрацьовування капкана на цікавих варвар проходило 7 годин, а п'ята частина підібраних флешок досліджувалися протягом години. Загалом, уразливість була виявлена приблизно в половині людей, і апдейтів не буде.

Цікава, але дуже вже засекречена презентация нових методів крадіжки даних кредиток. У тому числі за рахунок перехоплення інформації від вразливою клавіатури для набору пін-коду.

У ключовий презентації BlackHat Ден Камінські знову визнав, що інтернет зламаний і закликав разом працювати над підвищенням безпеки. На його думку спроба створити захищений безпечний анклав посеред бардаку (наведено приклад провайдер AOL, хоча зараз це скоріше листівка Apple) приречена на провал. Не потрібно розглядати ринок безпеки, як гонку за лідерство. На мій погляд, від гонки все одно не вийде позбутися, але можна якось направляти її в позитивне русло.

«Лабораторія» оголосила на BlackHat про запуск власної програми Bug Bounty. Двома днями пізніше свою програму анонсувала Apple. У них програма поки напівзакрита — ми цей етап закінчили навесні цього року. Але в будь-якому випадку це дуже хороші новини.

Disclaimer: Дана колонка відображає лише приватна думка її автора. Воно може збігатися з позицією компанії «Лабораторія Касперського», а може і не збігатися. Тут уже як пощастить.
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.