Security Week 46: обхід OAuth 2.0, низьковольтний ICMP DDoS, приватність iOS і обхід локскрина

Давно у нас не було наукових робіт за темою безпеки, і ось, будь ласка. На європейській конференції BlackHat EU дослідники з університету Гонконгу показали приклади некоректної реалізації протоколу OAuth 2.0, які в ряді випадків дозволяють вкрасти облікові записи користувачів. Так як мова дійсно йде про наукове дослідження, то і відповідна термінологія — без всяких цих «ААААА!1 мільярд учеток можна легко зламати через OAuth 2.0». Втім ні, oh wait, приблизно так робота і називається (новость і саме исследование).

Як би там не було, проблема, виявлена дослідниками, полягає не в самому OAuth, а в його конкретних реалізаціях. Необхідність впроваджувати системи Single-Sign-On не тільки для інтернету, але і для мобільних додатків (які належать не тільки власникам сервісів ідентифікації типу Facebook і Google, але і третій стороні) призвела до того, що стандарт OAuth 2.0 почали надбудовувати хто на що здатний, не завжди дотримуючись методи безпеки.

В результаті авторизація користувача місцями відбувається як попало: в дослідженні описується ситуація, коли авторизуватися від імені іншого користувача можна, знаючи тільки його логін (зазвичай e-mail). Втім, описані сценарії атаки передбачають наявність позиції man-in-the-middle, і можливі не завжди. З виявлених у ході дослідження проблемних додатків більшість працює з китайським identity provider Sina, а з 99 досліджених аппов, що підтримують OAuth через Google і Facebook атаці піддаються всього 17. Вирішити проблему можна на стороні провайдерів: якщо довіряти даними тільки від самого сервера ідентифікації, і не довіряти даними від програми (які можуть бути підроблені по дорозі), то елегантний хак працювати не буде.

Виявлена DDoS атака, дозволяє вивести з ладу міжмережеві екрани відносно невеликою кількістю запитів
Новина. Дослідження центру управління безпекою TDC Group.

Типова DDoS-атака виводить з ладу сайти швидше силою, ніж розумом: прикладом є нещодавня атака DNS-сервери Dyn потужністю до одного терабіта в секунду. Вивести з ладу мережеве обладнання атакою під малим напором складніше, але все ще можливо. Фахівці данської телекому TDC спостерігали близько сотні випадків атаки, яка здатна викликати відмову в обслуговуванні у ряду популярних моделей міжмережевих екранів при потужності в 15-18 мегабіт або 40-50 тисяч запитів в секунду.



Атака, на всякий випадок красиво поименованная (BlackNurse), використовує протокол ICMP. На відміну від поширеної атаки типу ping flood, в даному випадку на сервер відправляється безліч пакетів Type 3 Code 3 (Destination Unreachable, Destination Port Unreachable). За якихось причин (у дослідженні цей момент не розкривається) обробка цих пакетів викликає стовідсоткове завантаження процесора міжмережевого екрану, і, відповідно, відмова в обслуговуванні.

У замітці блоге американського інституту SANS визнається наявність проблеми, але вона кваліфікується скоріше як неправильна конфігурація: пакети такого типу досить легко відфільтрувати, або змінити параметри їх обробки. Відзначається, що Cisco навіть не стала кваліфікувати це як уразливість. Передбачається, що після отримання повідомлень про недоступність брандмауер намагається вирішити неіснуючу проблему, аналізуючи предыдушие пакети даних, на що йдуть значні ресурси. Цікаво, що метод атаки частково прийшов до нас аж з 90-х, коли була актуальна так звана проблема "смертельного пінгу".

Опубліковано три тисячі перший спосіб обходу екрану блокування в iPhone
Новина.

Обхід локскрина перетворився в якийсь спеціальний вид спорту. Учасники змагаються у швидкісному натисканні по всім доступним на заблокованому телефоні кнопок і іконок, переможець визначається виходячи з успішності доступу до закритих даних. Як і в минулий раз, в обході блокування задіяна Siri. Крім того, послідовність дій починається з намагання відреагувати на вхідний дзвінок або треба дочекатися дзвінка, або запитати у Siri «Who am I?», після чого номер телефону жертви буде показано на екрані. Далі слід шаманство, простіше відео подивитися.



Втім, найбільш обговорюваною новиною навколо Apple стала (передбачуване) не ця. За даними російської компанії ElcomSoft, iOS передает на сервери компанії інформацію про досконалих і прийнятих дзвінків за замовчуванням. Єдине, що необхідно для передачі даних — використання iCloud, причому для того, щоб телефон перестав надсилати на сервер історію дзвінків, синхронізувати з iCloud потрібно повністю вимкнути. Ця історія належить швидше до теми приватності, а не безпеки: за результатами обговорення суперечок між Apple і ФБР на початку цього року стало зрозуміло, що компетентні органи набагато простіше можуть добути інформацію з серверів компанії, а не з самого пристрою, якщо він заблокований.

Що ще сталося:
Цікаву доповідь відомого експерта з безпеки і криптографії Брюса Шнайера цитується в цієї новини: він виступає за те, щоб виробників IoT-пристроїв законодавчо зобов'язали дотримуватися норм безпеки. На думку Шнайера, тільки економічних інструментів впливу на вендорів (= діряві пристрої не будуть купувати) буде недостатньо (= все одно будуть, всім наплювати).

Yahoo все-таки знала про крадіжку даних ще в 2014 році. Мова йде про витік, інформація про яку була обнародована тільки у вересні цього року, коли бази почали зливати у відкритий доступ.

Тим часом у мережі FriendFinder вкрали 412 мільйонів учеток, в основному з різних сайти знайомств «для дорослих».

Давнину
«Petersburg-529»

Резидентний вірус, не небезпечний. Інфікує .COM-файли при завантаженні їх в пам'ять для виконання, впроваджується в початок файлу. При виконанні інфікованої програми залишається резидентным в пам'яті, здійснюючи такі дії:

— змінює розмір виділеної під основну програму пам'яті, резервуючи додаткову пам'ять для своїх потреб;
— визначає ім'я основної програми і виконує її (т. е. відбувається повторний запуск основної програми);
— по закінченні роботи програми вірус залишається резидентным (int 21h, ah = 31h).

Вірус ніяк не виявляється і не має деструктивну функції.

Цитата по книзі «Комп'ютерні віруси в MS-DOS» Євгена Касперського. 1992 рік. Сторінка 79.

Disclaimer: Ця колонка відображає лише приватна думка її автора. Воно може збігатися з позицією компанії «Лабораторія Касперського», а може і не збігатися. Тут уже як пощастить.
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.