Security Week 16: взлом мыши с 225 метров, детектор криптолокеров в Mac OS X, миллион долларов за взлом iPhone

Самое заметное изменение в новостном фоне по теме инфобезопасности по сравнению, скажем, с осенью прошлого года — это бурные дебаты вокруг и около шифрования данных. Начавшись с теоретических изысканий о потенциальных уязвимостях, например, в SHA-1 ^[1], тема приобрела сугубо практический окрас по мере развития диспута между Apple и ФБР, с переходом мессенджера Whatsapp на полное шифрование данных и с повышением внимания к проблеме криптолокеров (хотя казалось бы, причем здесь они?). Криптолокеры здесь может и действительно не при чем, но не могу не отметить иронию положения: в одном случае прогрессивная часть общества ратует за полное шифрование данных, в другом — испытывает немалую боль от того, что данные зашифровались без спроса, и как правило очень надежно. Шифрование — не панацея, если все остальное ломается без труда. Только комплексная защита информации, только хардкор.

Вот и на этой неделе ФБР прозрачно намекнуло ^[2], во сколько обошелся взлом того самого iPhone 5c, про который был суд с Apple. Больше 1 миллиона долларов, предположительно за zero-day уязвимость, которая позволила обойти защиту устройства. Напомню, в сентябре прошлого года сумму такого же порядка обещала ^[3] заплатить за уязвимость компания Zerodium. И вроде грустно как-то: защищай-не защищай, все равно взломают толстосумы. Но гарантировать 100% безопасность данных в принципе невозможно, и по сути любая защита пытается лишь сделать взлом неоправданно дорогим. Так что в контексте истории про iPhone это хорошая новость: сломать стоит дорого.

Другие компании тоже не собираются отдавать пользовательские данные задешево. По-крайней мере, когда им самим это не приносит прибыли, одни репутационные издержки. Внедрить полное шифрование всех коммуникаций на этой неделе пообещал ^[4] Viber, они утверждают что смогут видеть только факт коммуникации между двумя абонентами (=метаданные), но не содержимое. И только Blackberry продолжает защищать ^[5] произвольный доступ к личной переписке по запросу органов. Никто особо не против, но подход Blackberry, в свое время бывшей пионером защищенных мобильных коммуникаций, кажется устарел.

Далее: особенности взлома компьютеров через мышь на расстоянии и как сделать детектор криптолокеров, который то ли работает, то ли нет. Предыдушие выпуски тут ^[6].

Взлом компьютера через беспроводную мышь: исследователи увеличили дальность атаки до 225 метров
Новость ^[7].

Бойцы невидимого фронта из компании Bastille Networks продолжают исследовать уязвимость, через которую пока никто никого не взломал и не собирается. Эта история началась в феврале: именно тогда исследователи показали ^[8] как с помощью противоестественного использования мыши для набора букв и уязвимостей в системе авторизации можно взломать любой компьютер на любой операционной системе. Достаточно авторизоваться (через дыру) на USB-приемнике как мышь, без подтверждения пользователя, и начать отправлять на компьютер символы, как клавиатура. Не надо внедрять в систему вредоносный код, достаточно его прямо в системе написать и выполнить.

Круто конечно. Спустя два месяца исследователи улучшили свой результат по дальности: использовав копеечное оборудование (не более $50 за все), они увеличили дальность работы с USB-приемником до 225 метров с изначальных 100. Вроде как угроза стала в два с лишним раза опаснее, тогда почему «никто не взломал»? Ну, если честно, может мы просто об этом не знаем: поди пойми, что произошло в такой ситуации. USB-приемники (речь не идет о Bluetooth) — это такая вещь в себе, черный ящик размером с разъем. К нам в 2016 год приехала страшилка из ближайшего будушего, когда таких свистков в виде датчиков, контроллеров и прочего будет пруд пруди, они будут отвечать за наше электричество, воду и коррекцию сердечного ритма, но останутся при этом черными ящиками. Точнее, хочется, чтобы было как-то не так, а лучше и прозрачнее.

Для массовой киберпреступности подобный метод остается сложным. Предположу, что и для устроителей таргетированных атак этот метод из разряда экзотики. Пока работают приемы попроще, какой смысл устраивать беготню с антеннами? Беда в том, что многим владельцам беспроводных мышей остается либо поменять модель, либо терпеливо ждать, когда уязвимостью воспользуются. Многие USB-приемники не лечатся в принципе. Впрочем, к Logitech, изначально единственной компании, закрывшей уязвимость, недавно присоединился Microsoft. И вопрос на засыпку: это вот мы благодаря исследователям об этой проблеме узнали. А сколько аналогичных провалов на ровном месте остаются неизвестными?

Детектор криптолокеров для Mac OS X и проблемы восприятия
Новость ^[9].

Трояны-шифровальщики бывают разные. Они используют разные методы заражения, а иногда даже полагаются на недальновидного пользователя, который самостоятельно авторизует запуск вредосного скрипта. Но есть у них одна общая черта: рано или поздно они начинают шифровать файлы. Исследователь из компании Synack Патрик Вардл решил воспользоваться этим очевидным недостатком шифровальщиков и написал утилиту Ransomwhere. Она срабатывает всего на двух условиях: если (1) недоверенный процесс пытается одновременно (2) зашифровать много файлов, нужно заблокировать это действие и попросить пользователя о подтверждении.

Проблем у такого подхода много, и о большинстве из них исследователь честно сообщает у себя в блоге ^[10]. Один из немногих заметных троянов для Mac OS X — KeRanger ^[11] — распространялся довеском к популярному клиенту Transmission, был подписан сертификатом разработчика и таким образом являлся доверенным процессом. И это не единственный способ такую утилиту обойти. Попытка зашифровать данные — это по сути одновременная работа по изменению большого количества файлов, но детектировать криптолокеры по данному признаку нельзя — будет очень много ложных срабатываний. Вардл ссылается на некую математическую магию, а именно подсчет уровня энтропии данных, который ожидаемым образом меняется при переходе файла из обычного состояние в зашифрованное. Но такая магия основывается на информации о типовых алгоритмах шифрования, и если киберпреступник использует другой алгоритм, или оригинальную их комбинацию — магия может и будет работать, а может и нет.

В общем-то к утилите у меня претензий нет: это исследовательский проект, и программа, написанная специалистом для специалистов. Проблема в том, что СМИ (например ^[12], например ^[13] #2) представляют это как готовое решение для защиты от всех криптолокеров в мировом масштабе. Это не так. Реальная защита не может основываться на единственном техническом кунштюке. Концепция хороша (мы и сами ее используем), но в идеале 98% процентов криптолокеров вообще не должны проходить такую проверку: их нужно блокировать на более ранних этапах, от клика на подозрительный URL до загрузки вредоносного скрипта.

Что еще произошло:
Cisco Talos продолжает изучать ^[14] обнаруженный ими серверный криптолокер Samsam, использующий уязвимость в JBoss. Раскопали они, увы, больше 3 миллионов потенциально уязвимых серверов, включая школы (60 тысяч в США) и библиотеки со специфичным ПО. Уязвимость, кстати, была запатчена 6 лет назад.

29% устройств на Android не обновляются ^[15] достаточно быстро, чтобы считаться безопасными. В октябре прошлого года небезопасными посчитали ^[16] 85% устройств. Откуда такая разница? Свежий отчет сделан самой Google, а 85% насчитали независимые исследователи, естественно по разным критериям и методикам. В любом случае получается слишком много.

136 уязвимостей закрывает ^[17] новый патч Oracle. Из них семь с максимальным уровнем по шкале CVE.

Древности:
«Shake»

Резидентный очень опасный вирус. Стандартно поражает .COM-файлы текущего каталога при вызове функции GetDiskSpace (int 21h, ah = 36h). У зараженных файлов устанавливает время 60 секунд. Перехватывает и не восстанавливает int 24h. При старте зараженной программы с вероятностью 1/16 сообщает «Shake well before use». Перехватывает int 21h.

Цитата по книге «Компьютерные вирусы в MS-DOS» Евгения Касперского. 1992 год. Страницa 82.

Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.

Автор: «Лаборатория Касперского»

Источник ^[18]