Security Week 51-52: Нестандартний топ новин 2016

Ну ось знову, ніхто не очікував, а рік раптово закінчився. Пора підбивати підсумки, і вже третій рік поспіль я волію робити це нестандартно. Єдиним критерієм для відбору новини в топ є її популярність на новинному сайті Threatpost. Так, це не самий об'єктивний спосіб оцінки важливості тієї чи іншої події. Але й не найгірший: аудиторія Threatpost зазвичай ігнорує відверту политоту і приділяє чимало уваги подіям, на які потрібно реагувати або ось прямо зараз, або тим, що варто запам'ятати на майбутнє.

Нагадаю, огляді за 2015 рік у нас були уязвимости в интернете речей (ну ладно, в роутерах), шифрування даних, серйозна уразливість Stagefright в Android і діра GLIBC, а також складносурядні атаки — Carbanak, The Equation. У 2014-му: вразливість POODLE SSLv3, Shellshock і Heartbleed і, раптово, стеганография PNG-картинками.

В цьому році «п'ятірка» популярних новин виглядає почасти схоже: справу Apple проти ФБР, дірки в GLIBC (знову!) і в ядрі Linux, проблеми з OAuth і питання генерації надійних випадкових чисел з ненадійних джерел.

П'яте місце. ФБР не стала дотискати Apple в пошуку способів обходу локскрина iPhone 5с.
Новина. Суспільство. Ще один суспільство з докладним описом справи.



Одна політична новина в Top 5 все ж є. На початку 2016 року між компанією Apple і американськими компетентними органами стався показовий диспут по темі криптографії. Мова йшла про телефон терориста, який влаштував у 2015 році стрілянину в Сан-Бернардіно, штат Каліфорнія. Конкретно це було iPhone 5c, потрапив в руки ФБР неушкодженим, але заблокованим стандартним пасскодом. Частково інформація з телефону загиблого терориста була отримана через хмарне сховище iCloud, але задовго до теракту синхронізація з цим сервісом перервався. У Apple вимагали надати засоби, що дозволяють підібрати пасскод перебором, без вже тоді вбудованого обмеження на кількість спроб, яке неминуче перетворювало дані на телефоні в гарбуз.

В той момент, коли всі вже були готові до тривалих, публічним судових дебатів, коли вже були розміщені заклики до громадськості, проведені (без імен, без прямих цитат) закриті конференц-дзвінки з пресою, ФБР змогло обійти блокування без допомоги виробника. Тим не менш, даний кейс став першим у цьому році подорожжю IT-безпеки у велику політику — і, на жаль, не останнім. Те, що в лютому здавалося ізольованим суперечкою між державою та виробником, у жовтні перетворилося мало не на ключовий елемент політичної риторики. Кібербезпека все більше впливає на здавалося б зовсім «офлайнові» механізми взаємодії усередині суспільства, і справа тут не тільки в айфонах.

Хоча і в них теж. Природною реакцією Apple, незважаючи на умовну перемогу, стали успішні спроби позбавити себе будь-яких способів обходу заявленої системи безпеки для своїх пристроїв. Влітку представник Apple виступав на BlackHat, докладно розповідаючислайди про нововведення в системі захисту даних iOS (на той момент — у дев'ятій версії). Це нечуваний раніше рівень відкритості для Apple: компанія все ж віддає перевагу технічні деталі роботи своїх пристроїв залишати при собі. Шифрування почали більш активно впроваджувати розробники месенджерів (наприклад, WhatsApp і Viber). З іншого боку, ФБР продолжает висловлюватися проти абсолютної конфіденційності.


Дилберт по темі.

Тільки от проблема в тому, що надійною криптографії з бекдорів не буває. З технічної точки зору ця теза, загалом-то, не обговорюється. Але за фактом захищеність наших з вами пристроїв залежить не тільки від швидкості прогресу, але і від того, як технарі домовляться з політиками. Залежить вона і від ситуації на фронті битви між замком і відмичкою: хороша криптографія зовсім не дорівнює безпеки даних. Завжди є спосіб обійти захист. Завжди є спосіб зробити злом максимально дорогим для атакуючого. Як би те ні було, 2016 рік дав зрозуміти, що безпека інформаційних систем стала як ніколи раніше залежати від самого непередбачуваного її елемента: від людського фактора.

Третє та четверте місця. Уразливості в GLIBC і Linux Kernel
Новость. Новина. Суспільство про GLIBC.

У лютому цього року в бібліотеці GNU C Library (glibc) виявилася критична уразливість, яка зачіпає всі версії, починаючи з 2.9, яка була випущена в 2008 році. Винною виявилася функція getaddrinfo(), що відповідає за запит до DNS-серверу. Проблема полягає в тому, що до відповіді від сервера можна дописати довільний код, і, викликавши, переповнення буфера, виконати його на системі жертви. Уразливість виявили дослідники в Google, причому випадково — їх увагу привернули постійні падіння SSH-клієнта з segmentation fault при зверненні до певного серверу. Тобто, щоб провести атаку з використанням цієї уразливості, потрібно певним чином налаштувати DNS-сервер і якимось чином змусити жертву зробити запит. Це не так вже складно, і може бути реалізовано, наприклад, у процесі атаки man-in-the-middle, коли замість легітимного DNS-сервера на шляху запиту виявляється підставний.

Уразливість в ядрі Linux (CVE-2016-0728), точніше в модулі keyring, була виявлена в січні 2016 року: вона забезпечує можливість локальної експлуатації привілеїв. Виявили проблему експерти компанії Perception Point утверждали, що уразливості схильні практично усі десктопні і серверні версії Linux на базі ядра 3.8-4.2, і частина пристроїв на базі Android (в останніх експлуатацію проблеми ускладнює реалізація SELinux). Незважаючи на велику увагу до цієї проблеми, вона виявилася не самою небезпечною (експлуатації in-the-wild так і не було зафіксовано), і не єдиною за рік по темі local privilege escalation. Буквально минулого тижня була виявлена і закрита ще одна.

Друге місце. Обхід OAuth 2.0.
Новость. Суспільство. Исследование.

У листопаді на європейській конференції BlackHat EU дослідники з університету Гонконгу показали приклади некоректної реалізації протоколу OAuth 2.0, які в ряді випадків дозволяють вкрасти облікові записи користувачів. Проблема полягає не в самому OAuth, а в його конкретних реалізаціях. Необхідність впроваджувати системи Single-Sign-On не тільки для інтернету, але і для мобільних додатків (які належать не тільки власникам сервісів ідентифікації типу Facebook і Google, але і третій стороні) призвела до того, що стандарт OAuth 2.0 почали надбудовувати хто на що здатний, не завжди дотримуючись методи безпеки.

В результаті авторизація користувача місцями відбувається як попало: в дослідженні описується ситуація, коли авторизуватися від імені іншого користувача можна, знаючи тільки його логін (зазвичай e-mail). Втім, описані сценарії атаки передбачають наявність позиції man-in-the-middle, і можливі не завжди. З виявлених у ході дослідження проблемних додатків більшість працює з китайським identity provider Sina, а з 99 досліджених аппов, що підтримують OAuth через Google і Facebook атаці піддаються всього 17. Додам, що в дослідженні не вказуються назви схильних до додатків, але одне з них використовує автентифікацію Google і є музичним додатком з більш ніж 800 мільйонами завантажень. Звідси й більше кількість схильних до користувачів — більше мільярда.

Перше місце: Генерація випадкових чисел за допомогою неякісних джерел.
Новость. Суспільство. Дослідження.

Опублікована в травні наукова робота дослідників Девіда Цукермана і Эшана Чаттопадхья з Техаського університету доводить можливість генерації випадкових чисел високої якості на основі двох джерел більш низької якості. Якщо ще точніше, то така можливість була і раніше — наприклад, близько 10 років тому це показав бельгійський математик Жан Бургейн. Проблема в роботі Бургейна полягала в тому, що цим самим «не дуже якісним» джерелами насправді пред'являлися досить високі вимоги в частині ентропії, відповідно його дослідження мали суто наукову цінність.

А ось в даному випадку цінність може бути цілком практична: якщо просто, то нова робота дозволить отримувати випадкові числа швидко і дешево, зменшить шанси на, скажімо, злом зашифрованою листування через уразливості алгоритму генерації. Основна вимога до двох джерел — це відсутність кореляцій між ними. Загалом, хороша (хоча і надзвичайно складна для розуміння) новина з наукового фронту, яка цілком може знайти застосування в криптографії, і не тільки в ній. Відгуки на наукову роботу в цілому досить позитивні, але, як правильно зазначається у цій статті BBC, дослідження не пропонує нічого принципово нового. Але якість і швидкість існуючих методів генерації випадкових чисел можуть бути поліпшені.



Ця новина стала не тільки найпопулярнішою в цьому році, але й, мабуть, найбільш складною для сприйняття. Полегшити (хоча, кому як) розуміння теми допоможе представлена вище відеозапис лекції Цукермана.

Що ще сталося (але не потрапила в Top 5):
Епічне исследование про те, як впустити systemd з допомогою 48 символів. Детальніше це дайджесті.

Червневий ботнет з IoT-пристроїв, відповідальний за 400-гігабітну DDoS-атаку. Тривала всю осінь сага про ботнети Mirai виявилася все-таки крутіше.

Цікаве, але не показове дослідження про те, як шкідлива програма намагається сховатися від ресерчеров, які, в свою чергу, намагаються її запустити в виртуалке. Докладніше в цьому дайджесті.

Черговий обхід пасскода iPhone.

І, нарешті, цікаве исследование перехоплення управління бездротовими клавіатурами і мишами. У авторів роботи з компанії Bastille Networks весь рік йшов хрестовий похід проти небезпечних бездротових пристроїв введення. Цікавий праця, але досить марний: поки існують способи атаки куди простіше, він навряд чи буде взято на озброєння. І добре.

Disclaimer: Ця колонка відображає лише приватна думка її автора. Воно може збігатися з позицією компанії «Лабораторія Касперського», а може і не збігатися. Тут уже як пощастить.
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.