День у директора відділення банку «Прорив» Івана Петровича Хататапасова не задався. Напередодні надіслали каламутну і многоообещающую папір з центру про впровадження якихось нових практик та метрик. З ранку у двір банку заїхав грузовик і прямо на землю вивантажив безформну купу грошей. По телефону Івану Петровичу объясинили, що в рамках оптімізіціі регіональної мережі невелика частина коштів буде тимчасово зберігатися в даному відділенні, за що Іван Петрович може отримати комісію: «Ну візьміть там відро грошей. Ні, розписок не потрібно, але тільки одне відро».

Просидівши всю ніч з берданкой на купі бабла, Іван Петрович запротестував, але йому дали зрозуміти, що це нова прогресивна эджайл методика банкінгу, інкорпорована на основі кращих зразків світових кейс стаді, і нема чого тут взагалі виникати. Купа залишилася без нагляду: її вдало присипало снігом, і загалом з вулиці було не так помітно, хоча спроби перерахувати гроші весь час давали різну суму: незрозумілі молоді люди на вантажівці періодично щось відвозили і привозили, вважаючи на око.

Тобто, кхм, про що це я. Наведений вище абсурд в контексті зберігання персональних даних у мережі регулярно перетворюється в сувору реальність: у Yahoo! мільярди! паролів! вкрадуть!, у Cloudflare в результаті помилки (новина) важливі дані розпорошить тонким шаром за сайтів клієнтів і гуглу. Сьогоднішній випуск — про приватність. І правильну оцінку ризиків.

Читати далі →

Британські вчені довели, що криптографічного алгоритму хешування SHA-1 точно настав кінець. Якось так вийшло, що цієї історії я здається присвятив найбільшу кількість згадок в дайджестах, можливо із-за того, що з криптографією не жартують: вона або працює, або ні. Нагадаю, про що йде мова: в кінці 2015 року команда дослідників з університетів Голландії, Сінгапуру та Франції опублікувала доповідь, в якій поділилася новими ідеями оптимізації алгоритму пошуку колізій при використанні SHA-1. По тій оцінці реальну атаку можна було провести приблизно за 49 днів, витративши на хмарні обчислювальні потужності близько 75000 доларів.

Колізія — це коли два різних об'єкта мають один хеш. Якщо алгоритм SHA-1 використовується для ідентифікації об'єкта, то з'являється можливість «підсунути» інший об'єкт так, що «за документами» він буде ідентичний оригіналу. І мова йде навіть не про злом шифрованого листування, хоча SHA-1 як і раніше досить активно використовується в криптографії. «Об'єкти» можуть бути документами, сертифікатами для ідентифікації визначеного сервера: підміна в даному випадку відкриває широкий простір для кібератак.

Але цей простір — теоретичний: підтвердити уразливість на практиці коштує дорого. Цього тижня команда дослідників з Google і голландського CWI Institute повідомили, що вони, таки, змоглиновина, мінісайт проекту).

Читати далі →

На цьому тижні розцвіла пишним цвітом, розтеклася по лугах і долинах, розпустилася і опала головна конференція з інформаційної безпеки — RSA Conference 2017. Конференція, на відміну від заходів типу Blackhat або нашого власного Security Analyst Summit, трошки маркетингова. Досліджень щодо безпеки там майже немає (у нас есть, а так не дуже, зате красивих слів про інноваційних технологіях — багато. Слова теж потрібні: хочеться того чи ні, инфобезопасность давно перестала бути суто технічним феноменом, перетворившись в соціальний. Можливо із-за того, що в минулому році я був на заході, а в цьому — ні, цього разу слова з RSA я сприймаю з дещо більшою часткою скепсису.

Може бути так відбувається і тому, що инфобезопасный маркетинг останнім часом часто будується на якомусь очікуванні дива. Поки технар чекає, коли збереться проект, інший маркетолог мріє про блакитному вертольоті з чарівником, який прилетить і вирішить всі, абсолютно всі проблеми. Але немає. Показовим прикладом дисбалансу між мріями і суворою реальністю став семінар, присвячений технологіям майбутнього — конкретно штучного інтелекту і квантових обчислень — в перекладенні на киберзащиту (новость).

Читати далі →

Security Week 06: відкриті паролі в SCADA, уразливість в SMB, токен для Google Apps

Давно ми не говорили про безпеку промислових IT-систем. Незалежний дослідник з Німеччини Максим Рупп знайшов (новость дослідження) серйозні проблеми в SCADA-системі компанії Honeywell. У контролерах XL Web II, що використовуються в тому числі у виробництві, енергетиці і в системах водопостачання, були виявлені п'ять вразливостей, включаючи зберігання паролів у відкритому вигляді. Більш того, використовуючи спеціальний запит до контролера, атакуючий може в будь-який час отримати актуальний пароль, він зберігається на клієнтській стороні. Наведений у дослідженні код говорить сам за себе:


Через параметри URL в систему передається маса команд і налаштувань, вони приймаються без перевірок: правильним запитом можна, наприклад, почати нову власну сесію, відключивши таким чином легітимного керівника пристроєм. Ця історія добре описує всі традиційні особливості IT-безпеки в промисловості. Для апдейта потрібно звернутися в місцевий підрозділ вендора, терміни закриття вразливостей великі (інформація була передана ще в серпні минулого року). Тим не менш, це непоганий приклад взаємодії вендорів SCADA-систем з безопасниками.

Читати далі →

Security Week 05: вхід в Facebook за жетоном, уразливості в роутерах Netgear, сам-собі-DDoS в британському моз

Кібербезпека — це не обов'язково захист від зовнішніх кібератак. сообщает британське видання The Register, 14 листопада минулого року день в британському моз (National Health Service) не задався. Вранці співробітниця створила новий список розсилки для колег з власного невеликого відділу. Після створення списку вона відправила туди пусте повідомлення з темою «Тест».

Як з'ясувалося пізніше, у системі створення списків розсилки був обраний пункт «тільки співробітники моєї організації», що насправді означало «всі співробітники, взагалі все», а їх, на хвилиночку, у відділенні NHS в Англії 850 тисяч осіб. Після того, як тест був відправлений, приблизно 80 роздратованих колег відповіли в список розсилки з проханням виключити їх негайно. І пішло-поїхало.

За даними джерел The Register, всього за годину з невеликим поштовій системі департаменту промайнуло близько 500 мільйонів поштових повідомлень, що викликало затримки в доставці звичайних листів протягом дня. До честі співробітників зовнішнього підрядника, відповідальних за налаштування пошти, система так до кінця і не впала, незважаючи на раптово відкрився колективний чатик. У підсумку все одно зробили винуватим підрядника, змусили доопрацювати систему створення списків розсилки і відключили її від гріха подалі. Такий ось мимовільний DDoS.

Читати далі →

Security Week 04: зниклий ботнет, вразливість в Webex, патчі Apple

Важливої технічної новиною тижня в сфері ІБ стало дослідження (новина фахівця з безпеки в проекті Google Project Zero Тависа Орманди про уразливості в плагіні Cisco Webex для браузера Chrome. Тавис спеціалізується на неординарних вразливості (кілька патчів для продуктів «Лабораторії», до речі, випущені завдяки йому), але проблема в плагіні для популярного сервісу відеоконференцій відноситься до зовсім вже нестандартним.

Конференція Webex — це по суті окрема програма, яка запускається на вашому комп'ютері, після того як участь було ініційовано у браузері. Відповідно, для виконання нативного коду, плагін Cisco Webex використовує інтерфейс Native Messaging. Суть бага в тому, що якщо передати плагіну URL з певною магічною рядком», то він запустить будь-код, без жодних перевірок. Мабуть, слід назвати це фичей: явно було зроблено для спрощення процесу запуску потрібної програми без особливих церемоній. В результаті, користувач може зловити троян, відвідавши підготовлену веб-сторінку (будь-яку), і якшо один раз OK на пропозицію почати веб-конференцію.

Уразливість була пофикшена швидко, але, на думку ряду дослідників (включаючи самого Тависа), не до кінця. Нова версія плагіна для Chrome обмежує можливість запуску коду при наявності диво-рядки, тільки якщо URL починається з https://*.webex.com/. Очевидно, що це значно обмежує можливість експлуатації, але будь-яка XSS уразливість на webex.com може бути використана в парі з магічною рядком для атаки.

Читати далі →

Security Week 03: захід SHA-1 триває, баг чи фіча в Whatsapp, уразливості в роутерах не чиняться

SHA-1 — все. Чи ні? Стежити за розвитком подій навколо цього алгоритму хешування легко і приємно: незважаючи на очевидну серйозність проблеми, вона залишається малоприменимой для практичних атак, як мінімум — масових. Вперше я згадував про SHA-1 дайджесті аж від жовтня 2015 року. Проблеми з ним з'явилися з-за того, що обчислювальні ресурси подешевшали дещо швидше, ніж очікувалося. Експерт з криптографії Брюс Шнайер у 2012 році передрікав, що через три роки для створення колізії при генерації хешей потрібно 11 років обчислень на умовному сервері. Три роки пройшли, і з'ясувалося, що насправді (за рахунок розвитку технологій паралельних обчислень, і завдяки новим дослідженням в області криптографії) цей термін значно менше — всього 49 днів.

Так як хешування з допомогою SHA-1 використовується у вельми відповідальних операціях, наприклад при установці захищеного з'єднання з веб-сайтами, розробники софта досить оперативно почали ділитися планами висновку ненадійного алгоритму з експлуатації. Починаючи з 24 січня (для Firefox, для інших браузерів трохи пізніше) відвідування сайту, не підтримує алгоритм SHA-2 (зазвичай модифікації SHA-256), буде призводити до різноманітним загрозливим попереджень у користувачів.

Читати далі →

Security Week 01-02: уразливість в box.com фішинг паролів в PDF, атаки на MongoDB

Поки редакція щотижневих дайджестів щодо безпеки перебувала в постновогодней прострації, по ландшафту загроз ароматним потоком розтікався потік політики. Кібербезпеки в заголовках новин та висловлюваннях політиків було дуже багато, але не будемо піддаватися на провокації: чого-то впливає на реальний захист кого-небудь у них не було. Розгляд з приводу злому Національного комітету Демократичної партії США звичайно якось вплине на сферу інформаційної безпеки, але зовсім не впевнений, що в позитивну сторону. А значить продовжимо стежити за нехай менш гучними подіями, але трохи більше наділеними цікавими фактами.

Почнемо з цікавого прийому фішингу за допомогою PDF, про яке повідомив SANS Institute. При відкритті документа в цьому форматі користувачеві повідомляється, що він «заблокований» і пропонується ввести логін і пароль. Пароль потім відправляється на сервер зловмисника. Цікавих моментів тут два. По-перше, це фішинг наосліп: користувач може ввести пароль від облікового запису або від пошти, або взагалі незрозуміло від чого. Зловмисників це не хвилює: розрахунок на те, що пароль скрізь однаковий.

По-друге, при спробі відправити дані на сервер Adobe Reader виводить попередження. А ось, наприклад, вбудований в браузер Microsoft Edge переглядач пересилає введену інформацію мовчки, без оголошення війни. Схожий метод (повідомлення про нібито заблокованому контенті) застосовується в аттачах у форматі MS Word, але там це зроблено, щоб змусити користувача виконати шкідливий код.

Читати далі →

Security Week 51-52: Нестандартний топ новин 2016

Ну ось знову, ніхто не очікував, а рік раптово закінчився. Пора підбивати підсумки, і вже третій рік поспіль я волію робити це нестандартно. Єдиним критерієм для відбору новини в топ є її популярність на новинному сайті Threatpost. Так, це не самий об'єктивний спосіб оцінки важливості тієї чи іншої події. Але й не найгірший: аудиторія Threatpost зазвичай ігнорує відверту политоту і приділяє чимало уваги подіям, на які потрібно реагувати або ось прямо зараз, або тим, що варто запам'ятати на майбутнє.

Нагадаю, огляді за 2015 рік у нас були уязвимости в интернете речей (ну ладно, в роутерах), шифрування даних, серйозна уразливість Stagefright в Android і діра GLIBC, а також складносурядні атаки — Carbanak, The Equation. У 2014-му: вразливість POODLE SSLv3, Shellshock і Heartbleed і, раптово, стеганография PNG-картинками.

В цьому році «п'ятірка» популярних новин виглядає почасти схоже: справу Apple проти ФБР, дірки в GLIBC (знову!) і в ядрі Linux, проблеми з OAuth і питання генерації надійних випадкових чисел з ненадійних джерел.

Читати далі →

Security Week 50: соціалізація криптолокеров, аудит OpenVPN, вразливість в ядрі Linux

Тільки ми обговорили, що криптолокеры стали шкідливої темою року не за технологією атаки, а завдяки, скажімо так, соціальним аспектам проблеми, як прийшла новостьце підтверджує. Вимагач Popcorn Time названий на честь перспективного, але зарубаного на зльоті софта для зручного скачування фільмів з торрентів. Лоренс Абрамс, власник сайту BleepingComputer, обнаружил, що код трояна явно не дописаний, з-за чого не завжди працює зв'язок з командним центром.

Але головною особливістю трояна є альтернативний варіант розшифровки: жертві пропонується відправити друзям посилання, по якій, імовірно, скачується такий же троян, і в разі, якщо два адресата встановлять шкідливу програму, ключ відправнику буде надано безкоштовно (інакше вимагають 1 BTC). Імовірно, так як сайт в мережі Tor на момент аналізу шкідливої програми був недоступний.

Загалом, на практиці конкретно ця схема працювати навряд чи буде. Не варто забувати і про те, що поширення шкідливих програм переслідується кримінальним кодексом незалежно від намірів або необхідності терміново розшифрувати робочі документи. Але спроба цікава: дистрибуція шкідливого контенту самими жертвами відбувається часто, але жертви зазвичай про це не здогадуються. А тут дилема крутіше, ніж «платити чи не платити викуп». Дуже хочеться вірити в те, що дана технологія розвитку не отримає.

Читати далі →