Security Week 15: Badlock не впечатлил, больше криптолокеров, еще одна уязвимость в iMessage

от автора

Предположим, что апокалипсиса не будет. Неверный подход к безопасности новых устройств и софта не приведет к массовому выходу компьютерных систем из строя: ПасьянсОфис не упадет, светофоры не погаснут, машины с автопилотом без проблем довезут людей до дома. Это не значит, что можно кодить безответственно: никто ведь не умрет? Потрясающую историю на прошлой неделе раскопала редактор издания Fusion Кашмир Хилл. В 2002 году компания MaxMind разрабатывала новый сервис, позволяющий примерно определить координаты сетевого адресата по IP. В процессе разработки понадобилось ввести дефолтные координаты. Дело не в том, что это требовалось клиентам. В статье этот момент не раскрывается, но вполне можно представить, что так решил один из разработчиков, потому что все так делают и удобно. Чтобы система не падала от пустой переменной и не происходило деление на ноль.

В константу забили округленные (38.0000,-97.0000) координаты географического центра США и в общем-то быстро забыли про этот рутинный эпизод. А к жителям дома рядом с городком Потвин в штате Канзас через некоторое время начали приходить странные люди. Приезжали скорые. Приходили агенты ФБР в форме и в штатском. Налоговики. Коллекторы. Звонили разъяренные владельцы сайтов, которым приходил спам, и требовали прекратить сейчас же. Кто-то даже угрожал, а на аллее возле дома ночью поставили разбитый унитаз. Пожилой владелице дома и арендаторам не повезло оказаться в округленном до градусов центре страны. Все адреса, координаты которых компании MaxMind не удалось определить, указывали на дом в Канзасе, всего более шести миллионов IP. Кашмир Хилл связалась с MaxMind, и там были очень удивлены. Компания ведь всегда говорила, что координаты дает примерные, и они не должны использоваться для идентификации конкретных адресов и домов. Проблема в том, что абсолютно все, вплоть до медиков и ФБР, именно так их используют. Для московских IP, кстати, та же база дает координаты Кремля, а туда особо не пожалуешься.

Предположим, что апокалипсиса не будет. И очень хорошо, что так. Но технологии все больше влияют на нашу реальную жизнь, иногда самым непредсказуемым образом. Ошибки и уязвимости в софте и железе не всегда приводят к трагедиям (хотя иногда таки приводят). Безответственная разработка медленно и почти незаметно снижает качество нашей жизни. И чем дальше мы будем идти от точки «теперь питание компьютера можно отключить» к постоянному нахождению в сетевой среде, тем больше будет новых возможностей, но и проблем тоже.

Для московских IP, кстати, та же база дает координаты Кремля. А в географическом центре России никто не живет. Перейдем к новостям недели. Предыдущие выпуски тут.

Анонсированная заранее уязвимость в Windows и Samba уязвимость Badlock не так страшна, как ее маркетинговая кампания
Новость. Changelog Samba. Advisory Microsoft.

В предущих сериях я дважды упоминал эту историю, исключительно благодаря форме подачи: исследователи из компании SerNet подошли к проблеме донесения информации о софтверном баге до широких масс весьма ответственно. А именно: сделали минисайт, придумали название и логотип, опубликовали все, кроме информации о собственно уязвимостях, за три недели до выхода патчей. Доводы за и против такого подхода я приводил в прошлом выпуске, повторяться не буду. 12 апреля вышел патч Microsoft, закрывающий уязвимость в реализации протокола SMB в Windows, появились патчи для опенсорсной Самба, и наконец-то все узнали, в чем беда.

Короче, выяснилось, что не все так плохо. Даже не так: достаточно серьезная уязвимость слегка пострадала от маркетинговой активности. Или нет? Мое мнение: пиара много не бывает. Можно его любить или не любить, но на техническую сторону данной истории он никак не влияет. Итак, Badlock — это комбинация уязвимостей, которые позволяют получить доступ к данным с некоторыми оговорками: в системе (Windows или Samba, не важно) работает Active Directory, и атакующий уже находится в позиции man-in-the-middle. Это не уязвимости класса Remote Execution, они позволяют манипулировать только вызовами внутри протокола SMB, и в худшем случае могут вызвать отказ в обслуживании.

Патчить надо, но эксперты, признавая опасность обнаруженных уязвимостей, не видят в них чего-то такого особенного: закрытая тем же патчем RCE-дыра в Internet Explorer с точки зрения админов может быть столь же серьезной. Лично мне было бы интересно узнать детали истории и попытаться понять, как схожие баги оказались и в Windows, и в опенсорсной Samba, но об этом исследователи-первооткрыватели не говорят, (на что могут быть причины) и вообще предпочитают поменьше общаться со СМИ (а вот это в контексте заранее накрытой поляны публичности непонятно). В любом случае единой шкалы опасности угроз в индустрии нет, создать ее очень сложно, а жаль. Операторам IT-систем такая штука могла быть полезна.

Криптолокер с червячным приводом: вымогатели протирают от пыли древние вирусные приемы, и от этого становятся опаснее. Или не становятся.
Новость.

Ту часть истории, в которой собственно есть новость, я упомянул в позапрошлом дайджесте. Специалисты компании Cisco Talos обнаружили криптолокер Samsam, который таргетирует серверы, а не пользователей-сотрудников, и использует серверные уязвимости (конкретно в ПО JBoss). На этой неделе Cisco Talos выпустила отчет, в котором спроецировала свою недавнюю находку на возможные сценарии развития, кхм, индустрии кибервымогательства. Получилось страшновато: если учесть, что другие трояны используют довольно древние методы распространения (например макросы в офисных документах), то не столкнемся ли мы в один прекрасный момент с эпидемией вымогательства, сравнимой по масштабам с эпидемиями червей а-ля Conficker или Slammer?

Напомню, Conficker и Slammer — это выдающиеся экспонаты из начала 2000-х, главной особенностью которых были механизмы самораспространения. Действительно, сейчас такая методика в криптолокерах не применяется, а если начнет применяться? Сейчас киберпреступникам приходится выполнять засев, тратить на него силы, время и деньги (сотрудничая с владельцами эксплойт-паков например), а если они переложат эту «обязанность» на жертв? Получится форменный АПОКАЛИПСИС-ПОКАЙТЕСЬ-ГРЕШНИКИ-ИБО-ГРЯДЕТ-ВСЕМИРНОЕ-ВЫМОГАТЕЛЬСТВО!!!11

Эээ, нет. Времена уже не те, и чтобы лучше понимать феномен криптолокеров, надо оценивать его в контексте бизнеса. Вымогатели прежде всего зарабатывают деньги. Если вымогатели начинают тратить время на оригинальные технологии, деньги они перестают зарабатывать. Именно поэтому упомянутые мной две недели назад трояны Petya и тот же Samsam технически оригинальны, но практически распространены очень мало. А зачем напрягаться, если можно получить выкуп используя самые примитивные трояны на батниках? Кроме того, возможности киберкриминала хоть и широки, но не безграничны, и если была бы возможность распространения любого вредоносного ПО по сценарию эпидемии, ей бы уже давно воспользовались. Про апокалипсис я уже высказался в начале сегодняшнего выпуска: он не обязательно грядет, и дело вообще не в нем. Так что у Cisco Talos получилось так же, как у SerNet с бэдлоком: криптолокеры — это действительно актуальная и очень опасная тема. Но не ужас-ужас. Работающие технологии защиты от вымогателей тоже есть, главный вопрос во внедрении.

В iMessage нашли еще одну уязвимость, но уже починили
Новость. Исследование компании Bishopfox.

В начале марта Apple выпустила обновление для iOS до версии 9.3, которое не только ломало браузер Safari, но и закрывало серьезную брешь в криптозащите мессенджера iMessage. В свете тогда еще продолжавшегося диспута между Apple и ФБР это было важное дополнение. Получить доступ к чужой переписке, если совсем просто, можно двумя способами: либо перехватив данные по пути, либо забрав их с конечного устройства. Прогресс в области шифрования переписки у Apple и, например, у Whatsapp и других, делает перехват «в пути» весьма трудоемким, поэтому вопросы доступа к переписке на устройстве приобретают особую, я бы сказал стратегическую, важность.

Proof of concept на видео:

Новая уязвимость в Mac OS X El Capitan, закрытая обновлением 10.11.4, как раз дает возможность перехвата данных на конечном устройстве. Исследователи из группы Bishopfox обнаружили, по сути, дыру типа cross-site-scripting: есть возможность от имени клиента запрашивать данные с сервера Apple (например историю переписки). Достаточно прислать пользователю специальным образом сформированный Javascript URI и заставить его кликнуть. История хорошо показывает, как кроссплатформенность мессенджеров нового поколения постепенно становится для разработчиков головной болью. В данном случае с чатом на iOS проблем не было, а вот за компьютерами не долглядели. Интересно, что разработчики изначало «копали» в сторону другого мессенджера, и совершенно случайно обнаружили, что разработанный ими proof of concept работает и в iMessage тоже.

Древности:
Семейство «Sistor»

Неопасные резидентные вирусы. Стандартно заражают .COM- и .EXE-файлы. Запускают (кроме «Sistor-1000») «скачущий» по экрану шарик, который отражается от символов и границ экрана. При попадании шарика в знаки текста или псевдографики они (знаки) «падают» вниз. Перехватывают int 1Ch, 21h. Содержат текст: «Sistor» («Sistor-1000», дополнительно — «Sistor & Co Present»).

Цитата по книге «Компьютерные вирусы в MS-DOS» Евгения Касперского. 1992 год. Страницa 45.

Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.

ссылка на оригинал статьи https://habrahabr.ru/post/281729/


Комментарии

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *