Security Week 49: б/у сертификаты, кража данных из детских игрушек, Microsoft блокирует нежелательное ПО

    На этой неделе ничего не произошло. Ну как, поток новостей о безопасности в IT был обычный — тут взломали, там уязвимость, здесь патч — но без каких-то серьезных откровений. Когда я только начинал вести еженедельный дайджест, мне казалось, что таких недель будет немало, но пока, с августа, получилось всего две: нынешняя и еще одна. Но вы посмотрите, из чего состоит этот якобы вакуум:

    — У производителя игрушек украли данные миллионов клиентов, кучу личной информации о детях-владельцах «умных» устройств с камерами и прочим.
    — Тысячи модемов, роутеров и подобных устройств у многих производителей используют одинаковые сертификаты и ключи для доступа по SSH.
    — В США бурно обсуждают запросы ФБР в стиле «дайте нам данные и никому не рассказывайте об этом», детали которых впервые были обнародованы с 2001 года, когда такую практику ввели.

    Нормальное такое «ничего», хотя да, никаких супервзломов не было, ничего капитально не упало, и то хорошо. Впрочем, наши эксперты, подводя итоги года по самым громким событиям инфобезопасности, никакого снижения активности не видят, скорее наоборот. Ну и мы не будем расслабляться, зима близко. Традиционные правила: каждую неделю редакция новостного сайта Threatpost выбирает три наиболее значимых новости, к которым я добавляю расширенный и беспощадный комментарий. Все эпизоды сериала можно найти по тегу.

    Тысячи модемов, роутеров и других сетевых устройств используют одинаковые ключи и сертификаты
    Новость. Оригинальное исследование.

    ОК, в любой другой новости про взлом роутеров тоже можно написать про тысячи устройств, а то и про сотни тысяч и миллионы. Каждую серьезную уязвимость в массовых устройствах, постоянно подключенных к сети также можно снабдить подробной инструкцией по реагированию. Вот такой:



    Потому что даже самая серьезная уязвимость, про которую узнает максимальное количество людей, никак не повлияет на количество запатченных устройств: дырявых все равно останется много. Так вот, то, что раскопал исследователь Стефан Вибок из компании SEC Consult — еще серьезнее. Он проанализировал прошивку более чем 4 тысяч устройств от 70 разных производителей: сетевые шлюзы, роутеры, IP-камеры, телефоны и прочее. В прошивке каждого такого устройства зашиты ключи и сертификаты для доступа, либо по SSH, либо через веб-консоль, конкретно исследователи искали ключи SSH и сертификаты X.509. Всего на 4000 устройств было найдено 580 уникальных ключей. Да, это означает, что на некоторых устройствах ключи не совсем уникальные.

    Используя сетевые сканеры, исследователи прошлись по сети и обнаружили, что ключи и сертификаты из списка имеются на 9% всех хостов HTTPS в интернете (150 сертификатов, 3,2 миллиона хостов) и на 6% SSH-хостов (80 ключей, 900 тысяч хостов). Как так вообще получается?

    Есть примеры. Сертификат, выписанные на имя сотрудника Broadcom, присутствующий в SDK (видимо для SoC этой компании), который практически автоматом переселяется в прошивки разных устройств, разных производителей. В сети сертификат был обнаружен на 480 тысячах хостов в сети. Еще один сертификат от Texas Instruments, видимо по такой же схеме, обнаруживается в 300 тысячах устройств, в компании со статическим ключом SSH. Чем это все угрожает, тоже понятно: атаки типа man-in-the-middle, кража паролей и прочий перехват данных. В общем, нашли еще одну дыру, с которой не очень-то понятно что делать, и даже до конца не ясно, где еще она может всплыть.

    Взлом производителя умных игрушек VTech привел к утечке данных 5 миллионов пользователей
    Новость. Заявление компании. FAQ от производителя.

    В современном кибермире есть множество мест, в которых хранятся ваши личные данные. Настолько много, что никто из нас, по сути, не знает, где именно, и как они защищены. История китайского производителя «умных» детских игрушек VTech лишний раз это подтверждает: взлом серверов компании привел к утечке данных не только «клиентов» (родителей), но и детей. Как минимум — утекли имена и даты рождения детей, максимум — фото, снятые камерой, встроенной в некоторые игрушки. У родителей утекли пароли, причем плохо защищенные (были зашифрованы, но при этом не использовалась соль, так что с использованием радужных таблиц их легко перевести в обычный текст), контактные данные, в общем все кроме платежной информации — она обрабатывалась третьей стороной. Всего пострадало до пяти миллионов учетных записей.


    Серия «Мои первые утечки персональненьких данных»

    Как так вышло? В официальном заявлении компании говорится: «К сожалению, наша база данных была не настолько защищена, как хотелось бы». Более того, взлом произошел 14 ноября, а в компании об этом узнали только 24-го, через десять дней, и то после запроса журналиста — слитая база к тому времени уже утекла в сеть. Конечно этот взлом не претендует на лавры самого масштабного, но несколько пугает своей неожиданностью: 5 миллионам пользователей по всему миру теперь придется задуматься о смене всех паролей ко всем сервисам, но не только. Уверен, что большинство пользователей даже не подозревали, что именно хранит у себя производитель детского планшета.

    То есть поколение нынешних родителей не факт, что имело компьютер в детстве. У меня вот был, но там не было даже игр, не то что интернета: вместо «видеочатика с мамой» приходилось играть в сортировку пузырьком и ассемблер. А вот нынешние дети воспринимают все окружающие нас гаджеты как нечто естественное, чуть ли не с рождения. До сих пор все разговоры о защите детей в сети сводились к ограничению доступа к контенту. Пожалуй пора задуматься о том, что самих данных о детях, их поведении и активности, хранится у третьей стороны несколько больше, чем можно предположить. Это в общем-то нормально, но защищать эти данные нужно явно не по остаточному принципу исходя из стратегии «ну кому придет в голову нас ломать». Вот, кому-то пришло.

    Микрософт блокирует «вводящее в заблуждение ПО», намекая на довески к популярному софту и адварь.
    Новость. Пост в блоге компании.

    Microsoft ввела новый термин: PUA или Potential Unwanted Application или Потенциально Нежелательное Приложение. Определение этого самого ПНжП довольно общее, но мы все понимаем, на что в компании намекают. Блокировке могут подвергнуться приложения, использующие технологию вставки рекламных баннеров, софт, распространяющийся в качестве «довеска» к обычному ПО, а также софт «настойчиво предлагающий оплатить услуги с признаками мошенничества». Как мы все знаем, грань между более-менее легитимными программами, использующими такую тактику, и совсем нелегитимными — например поддельными антивирусами, она очень тонкая.


    Мы у вас что-то нашли и удалили

    Поэтому сервис по удалению или блокировке ПНжП будет предоставляться только корпоративным пользователям, а не всем сразу. Сервис сделан отключаемым, так как любая подобная блокировка может привести к ложным срабатываниям. Возможно фича поможет сделать компании самую чуточку безопаснее, хотя реально работающая система все-таки предполагает запрет всего, что не разрешено.

    Что еще произошло:
    Юридическая коллизия в американском суде привела к раскрытию информации о том, что ФБР называет National Security Letter, а в компаниях обычно именуют «gag order» — это когда спецслужбы просят раскрыть данные о пользователе, одновременно требуя хранить сам факт раскрытия в секрете. Против этой тактики последовательно выступают многие компании, и даже придумали способ обойти секретность: сначала на сайт вешаем заявление о том, что мы не предоставляли информацию спецслужбам по секрету, а если такой случай произойдет — убираем заявление. Очень много обсуждений вопросов приватности, но ни грамма технологий.

    В Китае обнаружили очередную APT, сливающую данные жертв через Dropbox.

    Древности:
    Семейство «Darth»

    Резидентные очень опасные вирусы, поражают .COM-файлы при записи в них (int 21h, ah = 40h). Записываются в начало файла не сохраняя его старое содержимое. Встраиваются в сегмент DOS. Подменяют адрес функции 40h в таблице функций прерывания 21h. Содержат текст «Darth Vader».

    Цитата по книге «Компьютерные вирусы в MS-DOS» Евгения Касперского. 1992 год. Страница 28.


    Image credit: Stefano Buttafoco / Shutterstock.com

    Хоть что-то в этом мире не меняется, и это пожалуй даже приятно. Да пребудет с вами сила!

    Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.
    «Лаборатория Касперского» 209,35
    Ловим вирусы, исследуем угрозы, спасаем мир
    Поделиться публикацией
    Комментарии 3
    • 0
      (были зашифрованы, но при этом не использовалась соль, так что с использованием радужных таблиц их легко перевести в обычный текст)

      Судя по всему, все-таки захэшированы.

      Должен признать, что в вашей интерпретации получилось все равно лучше, чем то, что написано в новости на threatpost, на которую вы ссылаетесь:
      Вину ИБ-эксперт возлагает на слабый криптоалгоритм MD5; генерируемые с его помощью пароли просты для взлома — например, «children15» или «welcome81».
      • 0
        спасибо, поправим
      • 0
        habrahabr.ru/post/244105 — нет никакого смысла обсуждать одинаковость или неодинаковость сертификатов, пока этот сертификат не сделан вами.

        Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

        Самое читаемое