Ловим вирусы, исследуем угрозы, спасаем мир
344,71
рейтинг
4 декабря 2015 в 13:25

Разработка → Security Week 49: б/у сертификаты, кража данных из детских игрушек, Microsoft блокирует нежелательное ПО

На этой неделе ничего не произошло. Ну как, поток новостей о безопасности в IT был обычный — тут взломали, там уязвимость, здесь патч — но без каких-то серьезных откровений. Когда я только начинал вести еженедельный дайджест, мне казалось, что таких недель будет немало, но пока, с августа, получилось всего две: нынешняя и еще одна. Но вы посмотрите, из чего состоит этот якобы вакуум:

— У производителя игрушек украли данные миллионов клиентов, кучу личной информации о детях-владельцах «умных» устройств с камерами и прочим.
— Тысячи модемов, роутеров и подобных устройств у многих производителей используют одинаковые сертификаты и ключи для доступа по SSH.
— В США бурно обсуждают запросы ФБР в стиле «дайте нам данные и никому не рассказывайте об этом», детали которых впервые были обнародованы с 2001 года, когда такую практику ввели.

Нормальное такое «ничего», хотя да, никаких супервзломов не было, ничего капитально не упало, и то хорошо. Впрочем, наши эксперты, подводя итоги года по самым громким событиям инфобезопасности, никакого снижения активности не видят, скорее наоборот. Ну и мы не будем расслабляться, зима близко. Традиционные правила: каждую неделю редакция новостного сайта Threatpost выбирает три наиболее значимых новости, к которым я добавляю расширенный и беспощадный комментарий. Все эпизоды сериала можно найти по тегу.

Тысячи модемов, роутеров и других сетевых устройств используют одинаковые ключи и сертификаты
Новость. Оригинальное исследование.

ОК, в любой другой новости про взлом роутеров тоже можно написать про тысячи устройств, а то и про сотни тысяч и миллионы. Каждую серьезную уязвимость в массовых устройствах, постоянно подключенных к сети также можно снабдить подробной инструкцией по реагированию. Вот такой:



Потому что даже самая серьезная уязвимость, про которую узнает максимальное количество людей, никак не повлияет на количество запатченных устройств: дырявых все равно останется много. Так вот, то, что раскопал исследователь Стефан Вибок из компании SEC Consult — еще серьезнее. Он проанализировал прошивку более чем 4 тысяч устройств от 70 разных производителей: сетевые шлюзы, роутеры, IP-камеры, телефоны и прочее. В прошивке каждого такого устройства зашиты ключи и сертификаты для доступа, либо по SSH, либо через веб-консоль, конкретно исследователи искали ключи SSH и сертификаты X.509. Всего на 4000 устройств было найдено 580 уникальных ключей. Да, это означает, что на некоторых устройствах ключи не совсем уникальные.

Используя сетевые сканеры, исследователи прошлись по сети и обнаружили, что ключи и сертификаты из списка имеются на 9% всех хостов HTTPS в интернете (150 сертификатов, 3,2 миллиона хостов) и на 6% SSH-хостов (80 ключей, 900 тысяч хостов). Как так вообще получается?

Есть примеры. Сертификат, выписанные на имя сотрудника Broadcom, присутствующий в SDK (видимо для SoC этой компании), который практически автоматом переселяется в прошивки разных устройств, разных производителей. В сети сертификат был обнаружен на 480 тысячах хостов в сети. Еще один сертификат от Texas Instruments, видимо по такой же схеме, обнаруживается в 300 тысячах устройств, в компании со статическим ключом SSH. Чем это все угрожает, тоже понятно: атаки типа man-in-the-middle, кража паролей и прочий перехват данных. В общем, нашли еще одну дыру, с которой не очень-то понятно что делать, и даже до конца не ясно, где еще она может всплыть.

Взлом производителя умных игрушек VTech привел к утечке данных 5 миллионов пользователей
Новость. Заявление компании. FAQ от производителя.

В современном кибермире есть множество мест, в которых хранятся ваши личные данные. Настолько много, что никто из нас, по сути, не знает, где именно, и как они защищены. История китайского производителя «умных» детских игрушек VTech лишний раз это подтверждает: взлом серверов компании привел к утечке данных не только «клиентов» (родителей), но и детей. Как минимум — утекли имена и даты рождения детей, максимум — фото, снятые камерой, встроенной в некоторые игрушки. У родителей утекли пароли, причем плохо защищенные (были зашифрованы, но при этом не использовалась соль, так что с использованием радужных таблиц их легко перевести в обычный текст), контактные данные, в общем все кроме платежной информации — она обрабатывалась третьей стороной. Всего пострадало до пяти миллионов учетных записей.


Серия «Мои первые утечки персональненьких данных»

Как так вышло? В официальном заявлении компании говорится: «К сожалению, наша база данных была не настолько защищена, как хотелось бы». Более того, взлом произошел 14 ноября, а в компании об этом узнали только 24-го, через десять дней, и то после запроса журналиста — слитая база к тому времени уже утекла в сеть. Конечно этот взлом не претендует на лавры самого масштабного, но несколько пугает своей неожиданностью: 5 миллионам пользователей по всему миру теперь придется задуматься о смене всех паролей ко всем сервисам, но не только. Уверен, что большинство пользователей даже не подозревали, что именно хранит у себя производитель детского планшета.

То есть поколение нынешних родителей не факт, что имело компьютер в детстве. У меня вот был, но там не было даже игр, не то что интернета: вместо «видеочатика с мамой» приходилось играть в сортировку пузырьком и ассемблер. А вот нынешние дети воспринимают все окружающие нас гаджеты как нечто естественное, чуть ли не с рождения. До сих пор все разговоры о защите детей в сети сводились к ограничению доступа к контенту. Пожалуй пора задуматься о том, что самих данных о детях, их поведении и активности, хранится у третьей стороны несколько больше, чем можно предположить. Это в общем-то нормально, но защищать эти данные нужно явно не по остаточному принципу исходя из стратегии «ну кому придет в голову нас ломать». Вот, кому-то пришло.

Микрософт блокирует «вводящее в заблуждение ПО», намекая на довески к популярному софту и адварь.
Новость. Пост в блоге компании.

Microsoft ввела новый термин: PUA или Potential Unwanted Application или Потенциально Нежелательное Приложение. Определение этого самого ПНжП довольно общее, но мы все понимаем, на что в компании намекают. Блокировке могут подвергнуться приложения, использующие технологию вставки рекламных баннеров, софт, распространяющийся в качестве «довеска» к обычному ПО, а также софт «настойчиво предлагающий оплатить услуги с признаками мошенничества». Как мы все знаем, грань между более-менее легитимными программами, использующими такую тактику, и совсем нелегитимными — например поддельными антивирусами, она очень тонкая.


Мы у вас что-то нашли и удалили

Поэтому сервис по удалению или блокировке ПНжП будет предоставляться только корпоративным пользователям, а не всем сразу. Сервис сделан отключаемым, так как любая подобная блокировка может привести к ложным срабатываниям. Возможно фича поможет сделать компании самую чуточку безопаснее, хотя реально работающая система все-таки предполагает запрет всего, что не разрешено.

Что еще произошло:
Юридическая коллизия в американском суде привела к раскрытию информации о том, что ФБР называет National Security Letter, а в компаниях обычно именуют «gag order» — это когда спецслужбы просят раскрыть данные о пользователе, одновременно требуя хранить сам факт раскрытия в секрете. Против этой тактики последовательно выступают многие компании, и даже придумали способ обойти секретность: сначала на сайт вешаем заявление о том, что мы не предоставляли информацию спецслужбам по секрету, а если такой случай произойдет — убираем заявление. Очень много обсуждений вопросов приватности, но ни грамма технологий.

В Китае обнаружили очередную APT, сливающую данные жертв через Dropbox.

Древности:
Семейство «Darth»

Резидентные очень опасные вирусы, поражают .COM-файлы при записи в них (int 21h, ah = 40h). Записываются в начало файла не сохраняя его старое содержимое. Встраиваются в сегмент DOS. Подменяют адрес функции 40h в таблице функций прерывания 21h. Содержат текст «Darth Vader».

Цитата по книге «Компьютерные вирусы в MS-DOS» Евгения Касперского. 1992 год. Страница 28.


Image credit: Stefano Buttafoco / Shutterstock.com

Хоть что-то в этом мире не меняется, и это пожалуй даже приятно. Да пребудет с вами сила!

Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.
Автор: @f15
Ловим вирусы, исследуем угрозы, спасаем мир

Комментарии (3)

  • 0
    (были зашифрованы, но при этом не использовалась соль, так что с использованием радужных таблиц их легко перевести в обычный текст)

    Судя по всему, все-таки захэшированы.

    Должен признать, что в вашей интерпретации получилось все равно лучше, чем то, что написано в новости на threatpost, на которую вы ссылаетесь:
    Вину ИБ-эксперт возлагает на слабый криптоалгоритм MD5; генерируемые с его помощью пароли просты для взлома — например, «children15» или «welcome81».
    • 0
      спасибо, поправим
  • 0
    habrahabr.ru/post/244105 — нет никакого смысла обсуждать одинаковость или неодинаковость сертификатов, пока этот сертификат не сделан вами.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Самое читаемое Разработка