Рубрика «Блог компании «Лаборатория Касперского»»

 

Security Week 07: RSA и искуcственный интеллект, безопасность Android, госрегулирование IoT - 1На этой неделе расцвела пышным цветом, растеклась по лугам и долинам, распустилась и опала главная конференция по информационной безопасности — RSA Conference 2017. Конференция, в отличие от мероприятий типа Blackhat или нашего собственного Security Analyst Summit, немножко маркетинговая. Исследований по безопасности там почти нет (у нас есть, а так не очень), зато красивых слов об инновационных технологиях — много. Слова тоже нужны: хочется того или нет, инфобезопасность давно перестала быть чисто техническим феноменом, превратившись в социальный. Возможно из-за того, что в прошлом году я был на мероприятии, а в этом — нет, в этот раз слова с RSA я воспринимаю с несколько большей долей скепсиса.

Может быть так происходит и потому, что инфобезопасный маркетинг в последнее время часто строится на некоем ожидании чуда. Пока технарь ждет, когда соберется проект, иной маркетолог мечтает о голубом вертолете с волшебником, который прилетит и решит все, абсолютно все проблемы. Но нет. Показательным примером дисбаланса между мечтами и суровой реальностью стал семинар, посвященный технологиям будущего — конкретно искусственному интеллекту и квантовым вычислениям — в переложении на киберзащиту (новость).
Читать полностью »

Комментарии к записи CoLaboratory: «ProКонтент 2.0». Ближе к пользователю отключены

Есть два типа компаний: первые ориентированы на пользователей, вторые — на свой продукт. По мере того как бизнес растет, часто главным для него становится продукт, который необходимо развивать и поддерживать, а забота о клиенте отходит на второй план.

При всех своих масштабах и линейке более чем из 60 настраиваемых решений «Лаборатория Касперского» действует прежде всего в интересах пользователя. Важная часть нашей работы — тексты: мы общаемся с пользователями наших продуктов с помощью элементов интерфейса и документации.

image

Год назад в «Лаборатории Касперского» прошла первая встреча «ProКонтент» для технических писателей, редакторов, переводчиков и локализаторов. 16 марта 2017 года мы вновь приглашаем к себе всех желающих, чтобы раскрыть свои секреты и поговорить о том, что нас объединяет. О контенте.
Читать полностью »

Давно мы не говорили о безопасности промышленных IT-систем. Независимый исследователь из Германии Максим Рупп нашел (новость, исследование) серьезные проблемы в SCADA-системе компании Honeywell. В контроллерах XL Web II, использующихся в том числе в производстве, энергетике и в системах водоснабжения, были обнаружены пять уязвимостей, включая хранение паролей в открытом виде. Более того, используя специальный запрос к контроллеру, атакующий может в любое время получить актуальный пароль — он хранится на клиентской стороне. Приведенный в исследовании код говорит сам за себя:

Security Week 06: открытые пароли в SCADA, уязвимость в SMB, токен для Google Apps - 1

Через параметры в URL в систему передается масса команд и настроек, принимаются они без проверок: правильным запросом можно, например, начать новую пользовательскую сессию, отключив таким образом легитимного управляющего устройством. Данная история хорошо описывает все традиционные особенности IT-безопасности в промышленности. Для апдейта нужно обратиться в местное подразделение вендора, сроки закрытия уязвимостей большие (информация была передана еще в августе прошлого года). Тем не менее, это неплохой пример взаимодействия вендоров SCADA-систем с безопасниками.
Читать полностью »

Security Week 05: вход в Facebook по жетону, уязвимости в роутерах Netgear, сам-себе-DDoS в британском минздраве - 1Кибербезопасность — это не обязательно защита от внешних кибератак. Как сообщает британское издание The Register, 14 ноября прошлого года день в британском минздраве (National Health Service) не задался. Утром сотрудница создала новый список рассылки для коллег из собственного небольшого отдела. После создания списка она отправила туда пустое сообщение с темой «Тест».

Как выяснилось позднее, в системе создания списков рассылки был выбран пункт «только сотрудники моей организации», что на самом деле означало «все сотрудники, вообще все», а их, на минуточку, в отделении NHS в Англии 850 тысяч человек. После того, как тест был отправлен, примерно 80 раздраженных коллег ответили в список рассылки с просьбой исключить их немедленно. И пошло-поехало.

По данным источников The Register, всего за час с небольшим по почтовой системе департамента пронеслось около 500 миллионов почтовых сообщений, что вызвало задержки в доставке обычных писем в течение дня. К чести сотрудников внешнего подрядчика, ответственных за настройку почты, система так до конца и не упала, несмотря на внезапно открывшийся коллективный чатик. В итоге все равно виноватым сделали подрядчика, заставили доработать систему создания списков рассылки и отключили ее от греха подальше. Такой вот самопроизвольный DDoS.
Читать полностью »

Security Week 04: пропавший ботнет, уязвимость в Webex, патчи Apple - 1Важной технической новостью недели в сфере ИБ стало исследование (новость) специалиста по безопасности в проекте Google Project Zero Тависа Орманди об уязвимости в плагине Cisco Webex для браузера Chrome. Тавис специализируется на неординарных уязвимостях (несколько патчей для продуктов «Лаборатории», кстати, выпущены благодаря ему), но проблема в плагине для популярного сервиса видеоконференций относится к совсем уж нестандартным.

Конференция Webex — это по сути отдельная программа, которая запускается на вашем компьютере, после того как участие было инициировано в браузере. Соответственно, для выполнения нативного кода, плагин Cisco Webex использует интерфейс Native Messaging. Суть бага в том, что если передать плагину URL с определенной «магической строкой», то он запустит любой код, без всяких проверок. Пожалуй, следует назвать это фичей: явно было сделано для упрощения процесса запуска нужного приложения без особых церемоний. В итоге, пользователь может словить троян, посетив подготовленную веб-страницу (любую), и кликнув один раз OK на предложение начать веб-конференцию.

Уязвимость была пофикшена быстро, но, по мнению ряда исследователей (включая самого Тависа), не до конца. Новая версия плагина для Chrome ограничивает возможность запуска кода при наличии чудо-строки, только если URL начинается с https://*.webex.com/. Очевидно, что это значительно ограничивает возможность эксплуатации, но любая XSS уязвимость на webex.com может быть использована в паре с магической строкой для атаки.
Читать полностью »

Ломать не строить. Иногда ломать — дело не менее сложное и благородное, чем строить.

В январе «Лаборатория Касперского» открывает свой сезон зимних айтишных видов спорта и запускает конкурс CrackMe. Скачайте три файла и разреверсите их, чтобы вычислить ключ, который генерируется в зависимости от введенного адреса email. Полученный ключ необходимо зарегистрировать на сайте.

image

Задания пронумерованы в порядке повышения сложности, поэтому советуем решать их в той же очередности.
Читать полностью »

Security Week 03: закат SHA-1 продолжается, баг или фича в Whatsapp, уязвимости в роутерах не чинятся - 1SHA-1 — все. Или нет? Следить за развитием событий вокруг этого алгоритма хеширования легко и приятно: несмотря на очевидную серьезность проблемы, она остается малоприменимой для практических атак, как минимум — массовых. Впервые я упоминал о SHA-1 в дайджесте аж от октября 2015 года. Проблемы с ним появились из-за того, что вычислительные ресурсы подешевели несколько быстрее, чем ожидалось. Эксперт по криптографии Брюс Шнайер в 2012 году предрекал, что через три года для создания коллизии при генерации хэшей потребуется 11 лет вычислений на условном сервере. Три года прошли, и выяснилось, что на самом деле (за счет развития технологий параллельных вычислений, и благодаря новым исследованиям в области криптографии) этот срок значительно меньше — всего 49 дней.

Так как хеширование с помощью SHA-1 используется в весьма ответственных операциях, например при установке защищенного соединения с веб-сайтами, разработчики софта довольно оперативно начали делиться планами по выводу ненадежного алгоритма из эксплуатации. Начиная с 24 января (для Firefox, для других браузеров чуть позже) посещение сайта, не поддерживающего более стойкий алгоритм SHA-2 (обычно модификации SHA-256), будет приводить к разнообразным угрожающим предупреждениям у пользователей.
Читать полностью »

Security Week 01-02: уязвимость в box.com, фишинг паролей в PDF, атаки на MongoDB - 1Пока редакция еженедельных дайджестов по безопасности пребывала в постновогодней прострации, по ландшафту угроз ароматным потоком растекался поток политики. Кибербезопасности в новостных заголовках и высказываниях политиков было очень много, но не будем поддаваться на провокации: чего-то влияющего на реальную защиту кого-либо в них не было. Разбирательство по поводу взлома Национального комитета Демократической партии США конечно как-то повлияет на сферу информационной безопасности, но вовсе не уверен, что в позитивную сторону. А значит продолжим следить за пусть менее громкими событиями, но чуть более наделенными интересными фактами.

Начнем с интересного приема фишинга при помощи PDF, о котором сообщил SANS Institute. При открытии документа в этом формате пользователю сообщается, что он «заблокирован» и предлагается ввести логин и пароль. Пароль затем отправляется на сервер злоумышленника. Интересных моментов тут два. Во-первых, это фишинг вслепую: пользователь может ввести пароль от учетной записи или от почты, или вообще непонятно от чего. Злоумышленников это не волнует: расчет на то, что пароль везде одинаковый.

Во-вторых, при попытке отправить данные на сервер Adobe Reader выводит предупреждение. А вот, например, встроенный в браузер Microsoft Edge просмотрщик пересылает введенную информацию молча, без объявления войны. Похожий метод (сообщение о якобы заблокированном контенте) применяется в аттачах в формате MS Word, но там это сделано, чтобы заставить пользователя выполнить вредоносный код.
Читать полностью »

Security Week 51-52: Нестандартный топ новостей 2016 - 1Ну вот опять, никто не ожидал, а год внезапно закончился. Пора подводить итоги, и уже третий год подряд я предпочитаю делать это нестандартно. Единственным критерием для отбора новости в топ является ее популярность на новостном сайте Threatpost. Да, это не самый объективный способ оценки важности того или иного события. Но и не самый плохой: аудитория Threatpost обычно игнорирует откровенную политоту и уделяет немало внимания событиям, на которые нужно реагировать либо вот прямо сейчас, либо тем, что стоит запомнить на будущее.

Напомню, в обзоре за 2015 год у нас были уязвимости в интернете вещей (ну ладно, в роутерах), шифрование данных, серьезная уязвимость Stagefright в Android и дыра в GLIBC, а также сложносочиненные атаки — Carbanak и The Equation. В 2014-м: уязвимость POODLE в SSLv3, Shellshock и Heartbleed и, внезапно, стеганография PNG-картинками.

В этом году «пятерка» популярных новостей выглядит отчасти похоже: дело Apple против ФБР, дыры в GLIBC (опять!) и в ядре Linux, проблемы с OAuth и вопросы генерации надежных случайных чисел из ненадежных источников.
Читать полностью »

Security Week 50: социализация криптолокеров, аудит OpenVPN, уязвимость в ядре Linux - 1Только мы обсудили, что криптолокеры стали вредоносной темой года не за технологии атаки, а благодаря, скажем так, социальным аспектам проблемы, как пришла новость, это подтверждающая. Вымогатель Popcorn Time назван в честь перспективного, но зарубленного на взлете софта для удобного скачивания фильмов из торрентов. Лоренс Абрамс, владелец сайта BleepingComputer, обнаружил, что код трояна явно не дописан, из-за чего не всегда работает связь с командным центром.

Но главной особенностью трояна является альтернативный вариант расшифровки: жертве предлагается отправить друзьям ссылку, по которой, предположительно, скачивается такой же троян, и в случае если два адресата установят вредоносную программу, ключ отправителю будет предоставлен бесплатно (иначе требуют 1 BTC). Предположительно, так как сайт в сети Tor на момент анализа вредоносной программы был недоступен.

В общем, на практике конкретно эта схема работать вряд ли будет. Не стоит забывать и о том, что распространение вредоносных программ преследуется уголовным кодексом вне зависимости от намерений или необходимости срочно расшифровать рабочие документы. Но попытка интересная: дистрибуция вредоносного контента самими жертвами происходит часто, но жертвы обычно об этом не догадываются. А тут дилемма покруче, чем «платить или не платить выкуп». Очень хочется верить в то, что данная технология развития не получит.
Читать полностью »