Security Week 05: вхід в Facebook за жетоном, уразливості в роутерах Netgear, сам-собі-DDoS в британському моз

Кібербезпека — це не обов'язково захист від зовнішніх кібератак. сообщает британське видання The Register, 14 листопада минулого року день в британському моз (National Health Service) не задався. Вранці співробітниця створила новий список розсилки для колег з власного невеликого відділу. Після створення списку вона відправила туди пусте повідомлення з темою «Тест».

Як з'ясувалося пізніше, у системі створення списків розсилки був обраний пункт «тільки співробітники моєї організації», що насправді означало «всі співробітники, взагалі все», а їх, на хвилиночку, у відділенні NHS в Англії 850 тисяч осіб. Після того, як тест був відправлений, приблизно 80 роздратованих колег відповіли в список розсилки з проханням виключити їх негайно. І пішло-поїхало.

За даними джерел The Register, всього за годину з невеликим поштовій системі департаменту промайнуло близько 500 мільйонів поштових повідомлень, що викликало затримки в доставці звичайних листів протягом дня. До честі співробітників зовнішнього підрядника, відповідальних за налаштування пошти, система так до кінця і не впала, незважаючи на раптово відкрився колективний чатик. У підсумку все одно зробили винуватим підрядника, змусили доопрацювати систему створення списків розсилки і відключили її від гріха подалі. Такий ось мимовільний DDoS.

Facebook додав факторів у систему авторизації, підтримує апаратні токени
Новина. Анонс Facebook.

Facebook тепер підтримує апаратні токени, що працюють за стандартом Universal 2nd Factor, такі як YubiKey. У налаштуваннях Facebook з'явилася відповідна опція, де можна прив'язати токен до аккаунту і входити в соцмережу навіть у тому випадку, якщо немає доступу до телефону. До цього основним методом двофакторної авторизації в Facebook був саме смартфон: досить зручна система дозволяла авторизуватися на новому пристрої, подивившись код авторизації на вже залогиненном телефоні, або отримавши відповідне SMS.



На перший погляд авторизація по токена — не найбільш ефективна і зручна схема, хоча б тому, що «вставити» жетон можна тільки в повноцінний ПК, мобільних телефонів і планшетів все складніше. Навіть на комп'ютерах поки підтримуються тільки браузери Chrome і Firefox. В майбутньому це питання може вирішитися з появою токенів, що працюють через NFC без проводів. Навіть якщо і так, ламається конструкція, коли твоїм токеном служить телефон. Втратити можна, загалом, і те, і інше приблизно з однаковою ймовірністю. Як резервна опція токен корисний, але є й інші способи. Судячи з усього, соцмережа в даному випадку діє за правилом «не зашкодить». Остання ініціатива стає в ряд з іншими методами захисту користувачів: від повідомлення про проведення кібератаки потенційним жертвам, до підтримки OpenPGP.

В роутерах Netgear виявили уразливість, що дозволяє обійти пароль
Новость. Исследование Trustwave. Информация на сайті Netgear.

Рекомендую почитати розповідь Саймона Кеніна за посиланням вище: рідкісний випадок, коли процес дослідження систем захисту викладається людським зрозумілим для простих смертних мовою. Все почалося з того, що у Саймона раптово впав інтернет, йому було ліньки йти до роутера і перезавантажувати, а пароль від веб-інтерфейсу був забутий. Досліджуючи HTML-код сторінки про неправильному введенні пароля, Саймон виявив рядок unauth.cgi з якимось цифровим кодом у вигляді параметра. Інтернет до того часу піднявся сам, завдяки чому вдалося погуглити на предмет наявності вразливостей в даній моделі роутера Netgear.



Виявилося, що уразливість вже була розкрита (і можливо пропатчена, але хто взагалі оновлює роутери?): якщо взяти той самий код з unauth.cgi і згодувати його на інший технічної веб-сторінці, то можна добути пароль. Далі почалися натурні випробування: Саймон знайшов інших власників роутерів Netgear і вирішив з'ясувати, які ще моделі схильні. Так як «експлуатувати уразливість» доводилося віддалено, він написав скрипт на пітоні.

Написав він його погано: помилка приводила до того, що замість потрібного коду роутеру передавався сміття. І таки що ви думаєте? Виявилося, що сміття приймається на ура, у відповідь віддається пароль, та це вже зовсім інша уразливість, до якої схильні набагато більше моделей. Уразливість легко експлуатується локально, але може використовуватися і віддалено, якщо ввімкнено віддалений доступ до веб-інтерфейсу. За версією Netgear, у переважної більшості користувачів він вимкнений. За версією Саймона, може бути і так, але віддаленої експлуатації все одно схильні сотні тисяч пристроїв.

Далі почалися трудові будні: дані були передані виробникові ще в квітні минулого року, з тих пір йшов процес закриття вразливостей, що тривав до минулого тижня. Це, звичайно, позитивний приклад взаємодії дослідника і вендора, якщо згадати недавню історію про інтернет-провайдера, який взагалі проігнорував інформацію. Але не забуваємо, що роутери — це зараз напевно найбільш проблемні устрою з точки зору доставки патчів до кінцевого користувача.

Давнину
«V-5120»

Нерезидентный безпечний вірус. Стандартно інфікує .COM — і .EXE-файли. Починаючи з 1992 року при запуску заражених файлів повідомляє «ACCESS Denied» і повертається в DOS.

Цитата по книзі «Комп'ютерні віруси в MS-DOS» Євгена Касперського. 1992 рік. Сторінка 93.

Disclaimer: Ця колонка відображає лише приватна думка її автора. Воно може збігатися з позицією компанії «Лабораторія Касперського», а може і не збігатися. Тут уже як пощастить.
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.