Даже если на этой неделе произойдет какой-то супермегавзлом, его никто не заметит, так как все или почти все причастные к миру информационной безопасности находятся в Лас-Вегасе, на конференции BlackHat. Одно из ключевых мероприятий индустрии традиционно собирает именно исследователей. Соответственно, конференция говорит о проблемах, но почти не обсуждает решения. И не потому, что решений нет, просто такой формат. Интересно, что на роль конструктивного собрания о методах защиты претендует февральская RSA Conference, но и там пока наблюдается некий разрыв шаблона: через кулуары бизнес-митингов с применением терминов «митигация», «комплексная стратегия», «методика реагирования на инциденты» рано или поздно пробегает некто в худи с громким криком «ААААА, ВСЕ ПРОПАЛО!1».
Пожалуй, это нормально: бизнес относительно IT-безопасности спозиционирован между морковкой всеобъемлющей защиты и тачанкой киберпреступности. Так и движется, мотивируемый и подгоняемый, в сторону светлого будущего безопасного инфопространства. Cегодня я позволю себе отойти от привычного формата и расскажу о некоторых интересных докладах с BlackHat. Пост не претендует на полноту, конференция еще продолжается: первое и второе уже подали, но компот долетит уже на следующей неделе.
tl;dr Сломали автомобили, шифрование, Android, почту, кредитки, всех обманули зараженными флешками. Интернет был сломан давно, за прошедший отчетный период не починился.
Все выпуски сериала доступны по тегу.
Нигерийский скам с поломкой почты и поддельными инвойсами
Новость.
Нигерийские мошенники — это не только письма от вдовы безвременно почившего президента бантустана. Компания Dell Secureworks рассказала на Blackhat о чуть более сложной схеме. Мошенничество начинается со взлома почтового сервера какой-либо компании, после чего начинают отслеживаться сообщения от контрагентов. В случае если в переписке зреет сделка на крупную сумму, в определенный момент в переписку входят мошенники — начинают пропускать сообщения от покупателя к продавцу через себя. Как правило для этого использовался самый примитивный способ: на сломанном сервере заводили почтовый аккаунт, с минимальным отличием в написании от оригинального.
В итоге покупателю подсовывается поддельный инвойс, деньги получают мошенники, после чего группа уходит в туман. Интересно наблюдение о сложности атаки: она то ли нулевая, то ли отрицательная. Отследить деятельность группы удалось благодаря ошибке одного из участников: он случайно заразил вредоносной программой сам себя. Как выяснилось, во всей организации только один человек хоть что-то понимал в кибератаках, все остальные занимались поденной работой — рассылали фишинг и занимались креативным гуглением. По данным ФБР, все атаки, связанные с компрометацией почты, принесли в прошлом году убыток в 3 с лишним миллиарда долларов.
Кража печенек из-за плохо внедренного HTTPS
Новость. Исследование.
Недовнедрение HTTPS ведет к краже персональных данных, предупреждают американские исследователи. Собственно, они обнаружили на множестве сайтов, включая, например, Amazon, eBay и Target совершенно капитанскую уязвимость. HTTPS на часто внедряется либо не полностью, либо закрывает только процесс авторизации. Это хорошо, так как передавать пароли в открытом виде совсем не ОК, но передача открытым текстом любых приватных данных в наше неспокойное время представляет проблему.
Собственно, при помощи распространенных снифферов трафика исследователи смогли выявить множество приватных данных в незащищенных транзакциях: мейлы, список контактов, фрагменты приватной переписки и, конечно, куки. Последнее особенно печально: кража кук в некоторых случаях помогает обойти парольную авторизацию, так, что никакой HTTPS не поможет. Собственно, а какой процент трафика в сети сейчас зашифрован? Исследователи ответили и на этот вопрос, запустив ноду Tor и проанализировав месячный трафик на точке выхода. Зашифрованными оказались всего 25% данных, три четверти передавались открытым текстом. Владельцы сайтов были уведомлены, да и проблема потихоньку решается, благодаря концепциям HTTPS Everywhere и HSTS.
А пока решаем эту проблему, можно задуматься над следующей: деанонимизировать пользователей можно и по поведению. В тему к этому недавнее обсуждение о возможности использования капчи Cloudflare для идентификации пользователей Tor.
В Google сравнивают Stagefright с миссией «Аполлон 13»
Новость.
Прошлогодний Blackhat отметился исследованием по серьезной уязвимости Stagefright в Android. В этом году Google говорит о том, как эта уязвимость повлияла на методы разработки в компании, сравнивая обнаружение дыры с миссией «Аполлон 13» — это когда у американцев по пути на Луну все сломалось, но они героически починили что смогли и вернулись (ну если кто не в курсе).
В одном из немногих позитивных выступлений, Ник Кралевич, глава команды Android Platform Security, сказал очень важную вещь. Когда ломают — это, в общем-то, хорошо, если уязвимости вовремя чинятся, а опыт используется в дальнейшем для разработки более безопасного софта. Это лучше, чем полное отсутствие сообщений о дырах в каком-то софте. Впрочем, внедрять безопасный подход нужно не только в разработку, но и в бизнес-модель, а вот с этим в Android проблемы. Но есть интересный момент: после того, как независимый исследователь обнаружил несколько сотен приложений, передававших данные (предположительно к своим серверам) открытым текстом, Google внедрила систему проверки, которая такие небезопасные аппы просто отключает, до перевоспитания.
Новые автооткровения от исследователей Криса Валасека и Чарли Миллера
Новость.
В прошлом году это тоже была новость номер один: исследователи Миллер и Валасек обнаружили способ перехвата управления автомобилем удаленно, с помощью уязвимости в мультимедийной системе. В этом году эксперты поделились новыми находками, но объявили, что автодырами отныне больше заниматься не будут (все нашли?). На Blackhat были показаны результаты исследования того же автомобиля (собственного Jeep Cherokee исследователей), что и в прошлом году.
Они смогли перехватить управление рулевым колесом и ручным тормозом, в последнем случае нашли способ заблокировать его постоянно, так, что снять машину с ручника можно было только после перепрошивки. Все благодаря подмене кода блока электронного управления. Для манипуляций рулем во время движения удалось заставить блок работать в диагностическом режиме — он и предусматривал резкие несанкционированные повороты. Ужасно? Не совсем. Это офлайновая атака, для которой нужно подключиться к диагностическому разъему. Никакого WiFi (и то хорошо). Решение проблемы есть: нужна IDS-система или хотя бы верификация кода. Беда в том, что в автоиндустрии производственный цикл длится годами и десятилетиями, и так просто апдейт накатить не получится. Впрочем, пока все неплохо. Такие находки — это тревожный звонок из будущего, где все машины ездят на автопилоте. Ну, то самое будущее, которое то ли наступит внезапно совсем скоро, то ли уже наступило.
Коротко:
Интересный эксперимент провели в кампусе университета штата Иллинойс. Исследователи разбросали по территории почти 300 флешек, на каждую поместили несколько HTML файлов — если кто-то их открывал в браузере, этот факт фиксировался в серверных логах. Очень просто и никакой малвари. 48% флешек кто-то подобрал и даже исследовал. В среднем от «потери» до срабатывания капкана на любопытных варвар проходило 7 часов, а пятая часть подобранных флешек исследовались в течение часа. В общем, уязвимость была обнаружена примерно в половине людей, и апдейтов не будет.
Интересная, но очень уж засекреченная презентация новых методов кражи данных кредиток. В том числе за счет перехвата информации от уязвимой клавиатуры для набора пин-кода.
В ключевой презентации BlackHat Дэн Камински вновь признал, что интернет сломан и призвал совместно работать над повышением безопасности. По его мнению попытка создать защищенный безопасный анклав посреди бардака (приведен в пример провайдер AOL, хотя сейчас это скорее открытка Apple) обречена на провал. Не нужно рассматривать рынок безопасности, как гонку за лидерство. На мой взгляд, от гонки все равно не получится избавиться, но можно как-то направлять ее в позитивное русло.
«Лаборатория» объявила на BlackHat о запуске собственной программы Bug Bounty. Двумя днями позже свою программу анонсировалаApple. У них программа пока полузакрытая — мы этот этап закончили весной этого года. Но в любом случае это очень хорошие новости.
Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.