Ловим вирусы, исследуем угрозы, спасаем мир
148,60
рейтинг
20 ноября 2015 в 12:42

Разработка → Security Week 47: {не}взломанный Tor, Gmail предупреждает о дешифровке, атака штрих-кодами

20 ноября 1985 года мир впервые познакомился с операционной системой Windows. Нет, не так. С операционной системой Windows 1.0 познакомилась довольно узкая прослойка людей, связанных с IT, которых ровно 30 лет назад было гораздо меньше, чем сейчас. Пресс-материалы к запуску были распечатаны на бумаге, с теплыми, ламповыми фотографиями интерфейса, сделанными с монитора пленочным фотоаппаратом. По-хорошему, Windows 1.0 и операционкой-то назвать нельзя, скорее надстройкой над MS-DOS. В пресс-релизе цитируется Билл Гейтс: «Windows дает пользователям беспрецедентные возможности уже сегодня, а также является фундаментом для развития в области программного и аппаратного обеспечения на несколько лет вперед». И в целом он был прав, так все и вышло.

30 лет спустя Microsoft объявляет о масштабной инициативе в области безопасности, а последователь Билла Гейтса и Стивена Баллмера Сатья Наделла называет Windows 10 самой защищенной операционной системой. А вот с этим можно поспорить, но анонсированные планы по улучшению безопасности платформы впечатляют: новая система управления безопасностью мобильных устройств для компаний (причем с поддержкой iOS и Android), расширение штата экспертов внутри компании, в том числе для обработки аналитики с миллионов Windows-машин по всему миру. Большая часть инициатив в анонсе направлена на корпоративную безопасность, но и обычным пользователям обещают больше защиты от вредоносных программ, кражи паролей и прочего.

Насколько серьезно изменится ситуация с безопасностью, покажет время, на этой неделе Microsoft скорее обнародовала план, а не отчитывалась о результатах. Несмотря на разницу в технологиях и возможностях, между Windows 1.0 и Windows 10 есть много общего не только в названии. Пережив долгосрочный период почти абсолютной монополии, платформа Microsoft, как и 30 лет назад, всерьез конкурирует с другими ОС. А вот в сфере безопасности изменилось вообще все: от самой постановки проблемы до масштаба угроз. Тут не только Microsoft, а всем разработчикам софта и железа есть над чем поработать. Посмотрим, что случилось на этой неделе. Все выпуски дайджеста — тут.

Университет Карнеги-Меллон то ли взломал, то ли не взломал Tor и то ли получил, то ли не получил за это миллион долларов от ФБР
Новость. Предыдущая новость. Анализ Tor с точки зрения анонимности.

Отличный образец новости о безопасности, в которой нет ни грамма технологий. Еще на прошлой неделе на сайте проекта Tor публикуется запись, в которой университет Карнеги-Меллон обвиняют в том, что а) они пытались взломать Tor с помощью «заряженных» передающих узлов сети б) они получили за это (как минимум) 1 миллион долларов от ФБР. Речь идет об уязвимости, обнародованной и закрытой еще летом 2014 года: руководство проекта тогда сообщило, что модифицированные атакующие узлы наблюдались в сети с февраля по июль, и все, кто пользовался Tor в этот период, теоретически были несколько менее анонимны, чем предполагалось.

Примерно тогда же на августовскую конференцию Black Hat 2014 было заявлено выступление исследователей из Карнеги-Меллон, о том как с всего за $3000 можно деанонимизировать пользователей Tor. Задолго до мероприятия заявка неожиданно отзывается, текст анонса удаляется с сайта Black Hat. А в этом году в материалах суда над оператором Silk Road 2.0 — последователя того самого гипермаркета наркотиков и прочего непотребства — упоминается, что доказать связь между обвиняемым и сервером, на котором крутился подпольный магазин, удалось с помощью некоего «исследовательского центра на базе университета».



Тот самый 1 миллион долларов, при этом, является чистой догадкой, на основе информации из источников «пожелавших сохранить анонимность». Знаем мы эти источники. Так почему эта новость и на прошлой неделе, и на этой, нагенерировала столько драмы? Даже без прошлогодней уязвимости в Tor есть масса способов раскрыть личность конкретного пользователя, хотя в утечках Сноудена говорится, что эта сеть — настоящая головная боль правоохранителей. Ну наисследовали, ну заплатили, и что? Претензия проекта Tor заключается в том, что подобный метод взлома сети — когда компрометируются сразу много пользователей, а после в полученных данных ищут нужных — он как бы не совсем правильный. А если говорить прямо, то это еще один вариант массовой слежки, не совсем этичный, и если ФБР на свою репутацию наплевать, то известному университету — нет. Поэтому и критикуют.

На этой неделе представитель Карнеги-Меллон попытался исправить ситуацию. Получилось не очень: три абзаца официального заявления содержали в себе туман и непрозрачные намеки, о том, что в некоторых случаях правоохранительные органы могут использовать судебное предписание, чтобы уточнить у исследователей детали их исследования. И университету приходится им подчиняться. Переводим на человеческий язык: миллиона долларов не было, но ФБР нужную информацию таки получила. Не все специалисты и диванные эксперты согласны, но дальше уже начинается обсуждение, кто кому сколько и за что платит — ну вообще не интересно. Важную мысль высказал директор Tor Project Роджер Динглдайн. Исследователи Карнеги-Меллон по идее представляют индустрию безопасности, которая угрозы должна выявлять и помогать их чинить. Правоохранительным органам нужно помогать исследовать угрозы, а вот становиться их подрядчиком и ломать защиту при помощи найденных уязвимостей — это не ОК.



Пересекли исследователи Карнеги-Меллон эту тонкую грань или нет — мы достоверно не знаем, но интерес к данной истории показывает, что вопрос на самом деле серьезный.

Google предупредит пользователей GMail о письмах, присланных по незащищенным каналам
Новость.

Пятиминутное гугление по фразе «E-Mail is Dead» дает массу ссылок на статьи, памфлеты, творческие зарисовки и новости о том, умерла ли электронная почта или еще нет. Это одна из самых древних концепций интернета, многие технические аспекты которой были стандартизированы еще в 70-х (а схожие на уровне идей прототипы — вообще появились в 60-х). Старше веба, сильно старше фейсбука, заметно старше даже самих персональных компьютеров и их деривативов. Несмотря на то, что современная почта отличается от UUCP образца 1978 года так же, как Windows 1.0 от Windows 10, на уровне инфраструктуры не надо глубоко копать, чтобы наткнуться на какого-нибудь плохо сконфигурированного, забытого в дальнем углу серверной почтового динозавра.

Ключевая проблема электронной почты — безопасность. Еще буквально лет 10 назад широко распространенным методом передачи сообщений от сервера к пользователю был протокол POP3, вообще не предполагающий какого-либо шифрования данных. Сюда же запишем проблему идентификации отправителя: подделать сообщение и сейчас достаточно просто. У самой GMail с защитой вроде бы все в порядке, но у других операторов почтовых систем не обязательно так же. Насколько плохо? Исследователи Google выяснили в исследовательской работе. Взяли миллион доменов из топа Alexa, идентифицировали 700 тысяч уникальных почтовых серверов и проанализировали их безопасность.

Получилось вот что. 82% процента почтовых серверов поддерживали подключение по протоколу TLS, но из них только 35% были правильно настроены. Те две трети неправильно настроенных серверов запросто могут передавать сообщения открытым текстом, а значит когда с них или через них отправляется почта на GMail или на другой хорошо защищенный сервер, на определенном этапе она все равно проходит по открытым каналам. Если считать по сообщениям, то примерно четверть почты, приходящей на GMail с серверов за пределами США, была незашифрованной. Особенно исследователи отметили совсем плохую ситуацию в почтой в Тунисе, Папуа Новой Гвинее, в Непале, Кении, Уганде и Лесото. Например, 96% сообщений, приходящих в GMail с серверов Туниса оказываются незашифрованными.


В исследовании есть и позитивные моменты.

Как результат, Google планирует сообщать пользователям GMail, если пришедшее к ним сообщение проходило по открытым каналам в незащищенном виде. Тем самым намекая, что эту переписку может читать кто угодно. Как и ранее объявленная инициатива DMARC, это неплохое нововведение, тем более что GMail (пока) не обещает блокировать эти сообщения, кидать их в спам и так далее. Но тенденция интересная — новый взгляд на ту самую фрагментацию интернета, о которой много говорят специалисты. Только происходит она не по политическим причинам, а по техническим: если где-то в далекой глуши не хватает знаний и ресурсов, чтобы правильно все настроить, то рано или поздно эта глушь может перестать иметь равные права с другими ресурсами во всемирной сети.

Сканеры штрих-кодов можно взламывать. Угадайте через что
Новость. Видеодемонстрация исследователя.

На этой неделе в Японии прошла конференция PanSec 2015, на которой исследователи из китайской компании Tencent показали интересный способ взлома сканеров штрих-кодов. С помощью, как вы уже наверное поняли, штрих-кодов. Специально модифицированные штрих-коды позволяли выполнять на системе с установленным сканером произвольные команды, примерно так: одним хитрым кодом открываем консоль, другими хитрыми кодами печатаем в нее команды. На видео заметно, что взлом такого рода — довольно трудоемкая задача. В штрих-код много данных не запишешь, поэтому исследователю приходится листать перед сканером пачку кодов, чтобы добиться результата. Если вдруг атаку такого рода получится упростить, то теоретически под удар будет поставлено много что. Например, сканеры штрих-кодов «узнай цену» в магазинах — вполне можно допустить, что они подключены к закрытой сети с массой интересной информации внутри.

Мораль сей басни такова: пользовательскому вводу нельзя доверять, никакому, даже если используются нестандартные способы. Сегодня мы говорим о сканере штрих-кодов, завтра возможно будем обсуждать сканеры отпечатков пальцев в мобильниках. Независимо от формата ввода, на выходе мы получаем код, и этот код вполне может быть исполняемым.

Что еще произошло:
Полицейские видеорегистраторы оказались заражены вирусом Conficker. Конфикером, Карл! Червем 2008 года выпуска. Всему виной устаревшая ОС и отсутствие базовых мер безопасности у производителя. Это не единственный пример такого рода. В сентябре Conficker-friendly уязвимость была обнаружена на множестве медицинских компьютерных приборов в США. Видео авторов исследования:



Интересное исследование стандартных систем шифрования в iOS и Android. Краткое резюме: физический доступ к устройств пока что позволяет это шифрование обойти, пусть и не самыми тривиальными методами.

Два новых представителя POS-malware — зловредов, атакующих вредоносные терминалы и позволяющих украсть данные кредитных карт. С этой угрозой сталкивается пока очень мало компаний (по нашим данным — всего 1%), но последствия даже одной успешной атаки на, например, крупную розничную сеть, могут быть очень серьезными.

Древности:
Семейство «Brain»

Состоит из двух практически совпадающих безобидных вирусов: «Brain-Ashar» и «Brain-Singapore». Они заражают Boot-секторы дискет при обращении к ним (int 13h, ah = 02). Продолжение вируса и первоначальный Boot-сектор размещаются в секторах, которые принадлежат свободным кластерам диска. При поиске этих кластеров вирусам приходится анализировать таблицу размещения файлов — FAT. В FAT эти кластеры помечаются как «плохие» (так называемые псевдосбойные кластеры). У зараженного диска устанавливается новая метка "(С) Brain". Вирусы используют «стелс»-механизм: при попытке просмотра Boot-сектора зараженного диска «подставляют» истинный Boot-сектор.

Цитата по книге «Компьютерные вирусы в MS-DOS» Евгения Касперского. 1992 год. Страница 95.
Кстати, в 2011 году Микко Хиппонен из компании F-Secure специально ездил в Пакистан, чтобы поговорить с авторами вируса. Найти их оказалось сложно, но вполне реально: авторство было закодировано в одной из модификаций. Brain считается одним из самых первых вирусов для платформы IBM PC. Обнаружен в 1986 году.

Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.
Автор: @f15
Ловим вирусы, исследуем угрозы, спасаем мир

Комментарии (11)

  • +4
    Прекрасный, хоть и поверхностный обзор сегодняшней ситуации, спасибо!
    ИМХО
    Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.

    В статье просто перечислены факты и предположения, мнений особо не нашел
  • +1
    В гугловском исследования шикарная статистика по MTA: у Exchange 2013 целых 12% без учёта антиспам шлюзов.
    • 0
      Атака на сканер — приложение для смартфона, которое будет воспроизводить на экране последовательность штрих кодов.
      • 0
        Большинство сканеров штрих-кодов работают на отражение, а в этом режиме у цветного нетрансфлективного ЖК экрана очень мал контраст. А у OLED вообще такого контраста нет. Так что с приложением не взлетит. Нужно что-то на электронной бумаге делать. Или как вариант, генерировать псевдоотраженный сигнал, синхронизированный с движениями лазерного луча.
        • 0
          И тут можно вспомнить про прекрасный смартфон с 2мя экранами, один из которых E-ink, произведенный в России :)
  • +1
    Относительно GMail складывается впечатление аналогичное ситуации, когда один вирус заражая комп удаляет с него другие вирусы: гугл хочет иметь эксклюзивную возможность читать чужие письма. А на мой взгляд, SSL для SMTP это, безусловно, неплохо, но если вас волнует безопасность переписки — нужно использовать PGP, а не SSL.
  • +1
    Еще буквально лет 10 назад широко распространенным методом передачи сообщений от сервера к пользователю был протокол POP3, вообще не предполагающий какого-либо шифрования данных.

    rfc2595, june 1999
  • +1
    > Еще буквально лет 10 назад широко распространенным методом передачи сообщений от сервера к пользователю был протокол POP3, вообще не предполагающий какого-либо шифрования данных.

    Я как-то не очень заметил за эти самые 10 лет появление новых протоколов на тему передачи от сервер клиенту. Да, те же POP3 и IMAP4 служат и поныне, разве что почти всегда есть SSL-версии их и поддержка StartTLS. Так что в этом смысле ничего супернового не придумано. Я сейчас не беру протоколы типа HTTP/HTTPS на веб-мордах, работу с Exchange — я говорю о распространенных среди «обычных» почтовых серверов вариантах.

    С другой стороны, редкий корпоративный (да и публичный) почтовый сервер откажется от поддержки связи по нешифрованным каналам. Не возьмусь сказать точно даже за Россию, но, наверное, процентов 5 писем все же передается клиентами и серверами, у которых либо сломан. либо не работает SSL/TLS, и отказаться от поддержки нешифрованной передачи — значит оставить этих людей за бортом. Не все компании, и уж тем более не все публичные сервисы на такое пойдут. Потому что идея — идеей («мы за безопасность!» — хороший лозунг, но СОРМ снимает данные уже после шифрованных каналов, так что как бы непонятно, зачем делать не 100% нечитаемую почту), а упускать письма никто не хочет.
    • 0
      > Да, те же POP3 и IMAP4 служат и поныне, разве что почти всегда есть SSL-версии их и поддержка StartTLS.

      Справедливости ради, «голые» POP3/IMAP наружу уже почти нигде не торчат. Все более-менее крупные сервисы предоставляют их только через SSL/StartTLS.
      • 0
        Вот насчет «только» я не уверен. Во многих местах (особенно там, где почта не вчера-сегодня впервые появилась, и где сервер «свой») торчат и шифрованные, и нешифрованные версии — для совместимости со старым, сложившимся.

        Но то не такая проблема. Честно говоря, как я скачаю почту с сервера провайдера — мое дело. Даже если меня и подслушают — это уж моя проблема. А вот вопрос, что трафик на SMTP-сервера и между ними (т.е. протокол SMTP, а вовсе не POP3) не везде шифруется, и не везде SSL/TLS-only — это да, некрасиво.

        Но факт в том, что «кому надо» — те трафик и так слушают, в рамках СОРМ-а и его аналогов по миру. Слушают прямо на площадке провайдера. Посему вопрос — от кого спасаемся?

        Тем более, простите, старая тема: масса почтовых серверов используют самоподписанные сертификаты. Это минимум просто удобно, выписать на 100 лет и вставить — TLS работает, а SMTP-сервера на моей памяти еще ни разу не отвазались принять почту от хоста, даже если у него и самопальный сертификат. Тогда вопрос — MITM-атака от этого упрощается до тривиальной, посему во что мы верим?

        И второй вопрос: а кто-то серьезно верит, что почта, лежащая на серверах крупных почтовых служб, в принципе никогда не может быть ими прочитана? Да ну? А если может, то риски мы тоже вроде как должны бы понимать. И либо произносить про себя классическое «то не телефонный разговор» (с поправкой на то, что пишем эл. письмо) — и не писать в письме открыто ничего важного, либо пересылать криптоконтейнер, а уже внутри него то, что хотим сообщить секретно.

        А что у Тунисе высок процент отсутствия TLS… Ой, проблема ли это для Туниса? Я вот лично больше удивился со фразы:

        > 82% процента почтовых серверов поддерживали подключение по протоколу TLS, но из них только 35% были правильно настроены.

        Кажется, что настроить TLS с самоподписанным сертификатом — не очень сложно. Раз так, что не так с настройкой 47% серверов? Или это именно про самоподписанные сертификаты разговор? Так тот же Гугл их отлично принимает, никто и не переживает, что они «неправильно настроенные».

        И главное — кого это из юзеров волнуют? Mail.ru, сменю напомнить, годами не включали SSL/TLS на почтовых протоколах — ничего, никто не сбежал от них, разве нет? Уверен притом, что не включали по какой-то причине, но я про осведомленность юзеров пишу. Правильно — смысл шифровать, когда твою почта хранится на серверах компании, которая ничего тебе не должна, и которая скорее не захочет ругаться с законом и акционерами, чем с тобой?
        • 0
          > Вот насчет «только» я не уверен.

          Ну если брать в расчет всяких провайдеров, где почта — эдакий бонус — то там да, может быть что угодно. Я про специализированные почтовые сервисы. Вроде office365 / gmail / etc.

          > Кажется, что настроить TLS с самоподписанным сертификатом — не очень сложно.

          Ну, например, старые и уязвимые протоколы, вроде того же SSL3. Еще, КМК, «неправильность» — это вообще разрешать plain-text при существующем SSL/TLS.

          > И главное — кого это из юзеров волнуют?

          Вот тут и кроется проблема, КМК.

          > Mail.ru, сменю напомнить, годами не включали SSL/TLS на почтовых протоколах

          Фигасе, не знал, что у них все так печально. Сейчас то plain-text, надеюсь, убрали совсем?

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Самое читаемое Разработка