Рубрика «klsw»

Security Week 20: Поддельные WannaCry, у HP в дровах кейлоггер, Chrome загружает лишнее - 1WannaCry успел прославиться так, что даже неграмотная часть населения планеты что-то где-то слышала, а уж те, кто имеет хоть какое-то отношение к информационной безопасности, успели досконально изучить многочисленные исследования троянца и FAQ по нему. Такого ажиотажа по поводу вредоносного ПО еще не было, так что у нас есть первая троянская суперзвезда. И у этой популярности уже появились последствия.

Даже самые ленивые админы закрыли доступ к порту 445 из Интернета (у кого был зачем-то открыт) и накатили обновления, то же сделали многие обычные пользователи, наши и британские ресерчеры синкхольнули стоп-домены нескольких вариантов WannaCry, однако полностью остановить эпидемию пока не удается. Теперь выяснилось, что кто-то очень предприимчивый лихо прицепляется к этому поезду прямо на ходу, и пытается намыть себе копеечку.

Шон Диллон из RiskSense рассказал, что они там выявили несколько новых версий WannaCry, которые почти не отличаются от изначальной, только не радуют – вот только адрес бикойн-кошелька, на который требуется переводить выкуп, нагло перебит в хекс-редакторе. И еще одно крохотное изменение: подражатели, с помощью все той же грубой правки файла, отключили механизм самоуничтожения троянца, то есть стоп-домены для этих версий отсутствуют.
Читать полностью »

Security Week 19: Windows Defender запускает чужой код, в HandBrake сидел троянец, фишеры атаковали пользовалей Gmail - 1Весна выдалась щедрой на дыры апокалиптического масштаба, причем в самых неожиданных местах. В этот раз это не смартфон, и не роутер, а гораздо хуже – Microsoft Malware Protection Engine. Этот компонент используется Windows Defender и по умолчанию включен в Windows 8, 8.1, 10, а также в Windows Server 2016

В этот раз отличился Google: исследователи из Google Project Zero Тэвис Орманди и Натали Силванович нашли ‘crazy bad’ уязвимость. Орманди поспешил твитнуть об этом, выразившись, что это худшая уязвимость удаленного запуска кода в Windows за последнее время – и, конечно же, сгенерил этим массу сенсационных заголовков. Разработчики из Microsoft кинулись закрывать дыру, как матросы на штурм Зимнего, и спустя три дня патч был готов. Орманди, мужественно державший все подробности при себе, облегченно разразился багрепортом.
Читать полностью »

Security Week 18: Дыра во всех системах с Intel Core, Apple отобрала сертификат у троянца, рансомварь заполонила планету - 1То, о чем так долго говорили большевики безопасники, свершилось. Свершилось почти десять лет назад, а сейчас об этом стало широко известно: в микропрограмме Intel Management Engine обнаружилась уязвимость. В оповещении от Intel указаны версии от 6.0 до 11.6, а, это, на минуточку, все версии, начиная с 2008 года, с платформ для процессоров Intel Core первого поколения.

Тем, кто хорошо знает, что умеет ME, уже страшно. Оно может читать и писать в любую область оперативной памяти и накопителей, подсматривать за происходящем на экране, посылать и получать из сети всякое, игнорируя работающий в системе файрволл, и все это, не оставляя в логах никаких следов. По слухам, даже шифрование диска ME обходит без напряга. Нечеловечески полезная штука.

Ежу понятно, что встраивая в материнки легитимный аппаратный бэкдор, надо по-максимуму закрутить гайки в системе безопасности, что Intel и сделала. Код iME, например, зашифрован 2048-битным ключом. Но как обычно, что-то пошло не так, и теперь прогрессивная общественность доподлинно узнала о возможности удаленно захватывать доступ к функциям управления ME. Под угрозой машины, в которых реализованы технологии AMT, ISM и SBT. Ну то есть вообще все на интеловских чипсетах под Intel Core.

Читать полностью »

Security Week 17: DoublePulsar вырвался на волю, в сотне тысяч Linksys нашли дыры, SMSVova изгнан из Google Play - 1Пока безопасники охали и ахали над архивом хакерских инструментов АНБ, который слили в Сеть ShadowBrokers, серьезные дяди с темной стороны запустили новые госэксплойты в дело. И, как выяснилось, не только эксплойты – поверхностное сканирование Интернета выявило большое число машин, зараженных свежеслитым бэкдором DoublePulsar.

Положение серьезнее некуда. DoublePulsar представляет собой хитрый бесфайловый бэкдор и позволяет удаленно запускать код, который сделает с системой все, что изволит пожелать господин хакер. Вот тут можно посмотреть подробный анализ работы DoublePulsar, мы же поговорим немного не об этом.
Читать полностью »

Security Week 16: SWIFT под колпаком, в Magento снова дыра, подари Honeypot другу - 1Shadow Brokers явно завидуют славе Ассанжа. Раньше они с покерфейсом выкладывали несвежие архивы инструментов АНБ, которые и сами по себе давали основания для знатного хейта в адрес АНБ. Теперь же Shadow Brokers – это такой Wikileaks, только лучше: в этот раз они слили не только эксплойты, но и логи, и совершенно секретные документы. Если раньше приходилось гадать, как и для чего АНБ применяет свои импланты, то теперь известно точно: SWIFT давно под колпаком у конторы.

Речь о сети SWIFT, которая занимается межбанковскими денежными переводами. Важнейшая вещь для международной торговли, да и внутри стран активно используется. Как раз недавно я писал про группу Lazarus, которая добывает деньги через SWIFT – и денег там очень много. Но максимум, что могут сделать те ребята, это обчистить корреспондентский счет банка в SWIFT. У АНБ замах оказался пошире.
Читать полностью »

Security Week 15: Дырявый модем в Huawei, VirusTotal как канал утечки данных, Microsoft патчится от Dridex - 1Бывают же люди, до чужих багов жадные. Ральф-Филипп Вайнман из Comsecuris явно слегка повернут на уязвимостях беспроводных модемов – он копает эту тему как минимум с 2011 года, безжалостно бичуя поставщиков дырявых чипсетов. Почти каждый год выступает с новым докладом. В этот раз досталось Huawei, точнее, ее дочке HiSilicon Technologies. И достанется еще не раз: компания по доброте душевной опубликовала исходники ядра Huawei H60 Linux, что крутится у них под чипами серии Kirin, а вместе с ними слила и прошивку для HiSilicon Balong – сотового модема, который стоит в смартфонах Huawei.
Читать полностью »

Security Week 09: Тяжесть уязвимости Cloudflare, приватность IoT-медвежат - 1День у директора отделения банка «Прорыв» Ивана Петровича Хататапасова не задался. Накануне прислали мутную и многоообещающую бумагу из центра о внедрении каких-то новых практик и метрик. С утра во двор банка заехал грузовик и прямо на землю выгрузил бесформенную кучу денег. По телефону Ивану Петровичу объяснили, что в рамках оптимизиции региональной сети небольшая часть средств будет временно храниться в данном отделении, за что Иван Петрович может получить комиссию: «Ну возьмите там ведро денег. Нет, расписок не нужно, но только одно ведро».

Просидев всю ночь с берданкой на куче бабла, Иван Петрович запротестовал, но ему дали понять, что это новая прогрессивная эджайл методика банкинга, инкорпорированная на основе лучших образцов мировых кейс стади, и нечего тут вообще возникать. Куча осталась без присмотра: ее удачно присыпало снегом, и в общем с улицы было не так заметно, хотя попытки пересчитать деньги все время давали разную сумму: непонятные молодые люди на грузовичках периодически что-то отвозили и привозили, считая на глазок.

То есть, кхм, о чем это я. Приведенный выше абсурд в контексте хранения персональных данных в сети регулярно превращается в суровую реальность: то у Yahoo! миллиарды! паролей! украдут!, то у Cloudflare в результате ошибки (новость) важные данные распылит тонким слоем по сайтам клиентов и гуглу. Сегодняшний выпуск — про приватность. И правильную оценку рисков.
Читать полностью »

Security Week 08: SHA-1 точно всё, уязвимости в роутерах TP-Link, кроссплатформенный ботнет с кодом Mirai - 1Британские ученые доказали, что алгоритму криптографического хеширования SHA-1 точно настал конец. Как-то так вышло, что этой истории я кажется посвятил наибольшее количество упоминаний в дайджестах, возможно из-за того, что с криптографией не шутят: она либо работает, либо нет. Напомню, о чем идет речь: в конце 2015 года команда исследователей из университетов Голландии, Сингапура и Франции опубликовала доклад, в котором поделилась новыми идеями оптимизации алгоритма поиска коллизий при использовании SHA-1. По той оценке реальную атаку можно было провести примерно за 49 дней, потратив на облачные вычислительные мощности около 75000 долларов.

Коллизия — это когда два разных объекта имеют один хеш. Если алгоритм SHA-1 используется для идентификации объекта, то появляется возможность «подсунуть» иной объект так, что «по документам» он будет идентичен оригиналу. И речь идет даже не о взломе шифрованной переписки, хотя SHA-1 по-прежнему довольно активно используется в криптографии. «Объекты» могут быть документами, сертификатами для идентификации определенного сервера: подмена в данном случае открывает широкий простор для кибератак.

Но этот простор — теоретический: подтвердить уязвимость на практике стоит дорого. На этой неделе команда исследователей из Google и голландского CWI Institute сообщили, что они, таки да, смогли (новость, минисайт проекта).
Читать полностью »

Security Week 07: RSA и искуcственный интеллект, безопасность Android, госрегулирование IoT - 1На этой неделе расцвела пышным цветом, растеклась по лугам и долинам, распустилась и опала главная конференция по информационной безопасности — RSA Conference 2017. Конференция, в отличие от мероприятий типа Blackhat или нашего собственного Security Analyst Summit, немножко маркетинговая. Исследований по безопасности там почти нет (у нас есть, а так не очень), зато красивых слов об инновационных технологиях — много. Слова тоже нужны: хочется того или нет, инфобезопасность давно перестала быть чисто техническим феноменом, превратившись в социальный. Возможно из-за того, что в прошлом году я был на мероприятии, а в этом — нет, в этот раз слова с RSA я воспринимаю с несколько большей долей скепсиса.

Может быть так происходит и потому, что инфобезопасный маркетинг в последнее время часто строится на некоем ожидании чуда. Пока технарь ждет, когда соберется проект, иной маркетолог мечтает о голубом вертолете с волшебником, который прилетит и решит все, абсолютно все проблемы. Но нет. Показательным примером дисбаланса между мечтами и суровой реальностью стал семинар, посвященный технологиям будущего — конкретно искусственному интеллекту и квантовым вычислениям — в переложении на киберзащиту (новость).
Читать полностью »

Давно мы не говорили о безопасности промышленных IT-систем. Независимый исследователь из Германии Максим Рупп нашел (новость, исследование) серьезные проблемы в SCADA-системе компании Honeywell. В контроллерах XL Web II, использующихся в том числе в производстве, энергетике и в системах водоснабжения, были обнаружены пять уязвимостей, включая хранение паролей в открытом виде. Более того, используя специальный запрос к контроллеру, атакующий может в любое время получить актуальный пароль — он хранится на клиентской стороне. Приведенный в исследовании код говорит сам за себя:

Security Week 06: открытые пароли в SCADA, уязвимость в SMB, токен для Google Apps - 1

Через параметры в URL в систему передается масса команд и настроек, принимаются они без проверок: правильным запросом можно, например, начать новую пользовательскую сессию, отключив таким образом легитимного управляющего устройством. Данная история хорошо описывает все традиционные особенности IT-безопасности в промышленности. Для апдейта нужно обратиться в местное подразделение вендора, сроки закрытия уязвимостей большие (информация была передана еще в августе прошлого года). Тем не менее, это неплохой пример взаимодействия вендоров SCADA-систем с безопасниками.
Читать полностью »