Kaspersky Lab - Vislabākā aizsardzība!
Sākumlapa » Apdraudējumi » Drošības nedēļa 13 2016: šifrētāju parāde, FIB uzlauzis iPhone bez Apple palīdzības, sīkāk par Badlock

Drošības nedēļa 13 2016: šifrētāju parāde, FIB uzlauzis iPhone bez Apple palīdzības, sīkāk par Badlock

Sešas nedēļas ilgā Apple un Federālā izmeklēšanas biroja cīkstēšanās ir beigusies. FIB 28. martā oficiāli paziņoja, ka viņiem bez izgatavotāja palīdzības izdevies uzlauzt terorista iPhone 5c, tāpēc vairs netiek prasīts, lai Apple izgatavo instrumentu šī tālruņa uzlaušanai. Liekas, ka viss ir beidzies tā, lai gan izgatavotājs, gan patērētāji būtu apmierināti. Bet tas nenozīmē, ka par šo tēmu neviens vairāk nerunās.

 

Apple pret FIB

 

Ja aplūkojam to visu kopumā, tad viedtālruņu izgatavotājs un, faktiski, valsts strīdējās par to, kuram jānodrošina piekļuve aizsargātiem lietotāja datiem, kad tā nepieciešama, lai izmeklētu noziegumu. Šķiet, ka pirmoreiz tik plaši tika apspriests jautājums, kā rīkoties valsts iestādēm, ja datu šifrēšana ir tik efektīva, ka to nevar uzlauzt bez ierīces izgatavotāja palīdzības. Galu galā noskaidrojās, ka FIB bija pārsteidzies: ja ļoti vajag, tad var atrast arī citus paņēmienus.

Bet tik un tā agri vai vēlu (drīzāk jau agri) šis jautājums būs jāatrisina tiesas prāvā vai varbūt pat ar jaunu likumu. Problēmu vajadzēs risināt, un risinājums var būtiski ietekmēt jebkuru šifrētu datu aizsardzību (vienalga no kā!), tātad skars mūs visus. Tādēļ turpināsim vērot, kas notiks tālāk.

Šifrētāju parāde

Vairākas no populārākajām ziņām pagājušā nedēļā bija par šifrējošiem Trojas zirgiem. Nevar teikt, ka pēdējā laikā notikušie uzbrukumi būtiski atšķiras no agrākajiem, tomēr pētnieki ir pamanījuši dažus interesantus momentus. Kārtīgs aizsardzības risinājums joprojām spēj efektīvi neitralizēt šādus šifrētājus. Tādēļ tēma ir populāra ne jau uzbrukuma tehnoloģijas dēļ, bet gan tāpēc, ka šādu uzbrukumu ir arvien vairāk un incidenti notiek organizācijās, kuras glabā svarīgu informāciju, — galvenokārt slimnīcās. Aplūkosim svarīgākos notikumus.

Bezdatņu šifrētājs uzbrūk medicīnas iestādēm

Izmeklējot uzbrukumu kādai nenosauktai veselības aizsardzības iestādei, Carbon Black speciālisti noskaidrojuši, kā darbojas kibernoziedznieki-minimālisti. Potenciālais upuris saņem MS Office dokumentus un atver tos, bet viņam pieprasa ieslēgt makrosus; pēc makrosu ieslēgšanas datus šifrē skripts, kas tiek izpildīts Windows PowerShell vidē.

Tātad būtībā runa ir par ļoti vienkāršu Trojas zirgu, kurš izmanto .bat datnes, primitīvi, bez šifrēšanas komunicē ar vadības serveri, un tā rezultātā upurim jāšķiras vai nu no saviem datiem, vai no 500–1000 ASV dolāru (izpirkuma maksas). Kā redzams, pirms 20 gadiem izdomātā uzbrukuma metode joprojām ir efektīva, bet līdz ar Windows atbalstu komandčaulai bash šai metodei paveras jaunas perspektīvas.

Mērķtiecīgs šifrētāja uzbrukums slimnīcām, izmantojot servera programmatūru

Toties izspiedējprogramma SamSam uzbrūk, izmantojot visai neparastas metodes. Tā vēršas nevis pret uzņēmuma darbinieku datoriem, bet gan pret lietojumprogrammu serveriem JBoss (WildFly). Uzbrucēju motivācija ir saprotama: ne vienmēr efektīvās sociālās inženierijas vietā ir izdevīgāk izmantot serveru konfigurācijas ievainojamības, kuras — atšķirībā no darbiniekiem — nenāk uz darbu deviņos rītā un neiet mājās sešos vakarā, bet ir pieejamas visu diennakti.

Pētnieki apgalvo, ka uzbrukuma organizētāji tīšuprāt izvēlas slimnīcas. Ja parasts uzņēmums ar tikpat lielu infrastruktūru pārtrauks darbu uz pāris dienām, nevienam nekas slikts nenotiks, bet slimnīcai nav laika tielēties naudas dēļ — jāārstē pacienti. Taču Cisco Talos min atšķirīgu motivāciju: slimnīcu IT infrastruktūras drošība ļoti bieži esot zem katras kritikas. Tas nebūtu nekāds brīnums, jo mediķi par IT zina maz, bet ja tā tiešām ir, tad pēdējais laiks labot šo trūkumu.

Trojas zirgs Petya padara nepiejamu cietā diska saturu

Profesionāļi mēdz teikt, ka vairums šifrētāju izmanto „file level encryption”, tas ir, šifrē atsevišķas datnes, kamēr pašas operētājsistēmas darbība netiek traucēta. Taču pētot mērķtiecīgu surogātpasta sūtījumu kampaņu Vācijas uzņēmumiem, tika atrasts Trojas zirgs Petya, kurš šifrē galveno failu tabulu. Rezultātā nav iespējama datorsistēmas sāknēšana un darbs ar datiem, kamēr nav samaksāta izpirkuma maksa (380 ASV dolāru).

BleepingComputer pētnieki šajā videorullītī rāda Trojas zirga darbību:

 

Vārdu sakot, Trojas zirgs, inficējot datoru, veic cietā diska pamatpalaišanas ieraksta MBR pārrakstu, izraisa sistēmas restartu, bet pēc tam, rādīdams lietotājam fiktīvu „diska pārbaudi”, šifrē datus. BleepingComputer pētījumā varat sīki, ar ilustrācijām, izstudēt, kā notiek inficēšana un kā tiek maksāta izpirkuma maksa.

Tā ir vēl viena sensena uzbrukuma metode, kuru Tor un bitmonētas atkal ir padarījušas aktuālu. Interesants gadījums, lai gan apšaubāms izplatības ziņā: atšķirībā no tradicionālajiem Trojas zirgiem šifrēšana diska līmenī ir rūpīgi jāsagatavo, jo ļoti daudz kas var noiet greizi.

Badlock ievainojamība Samba protokolā: speciālisti bažījas, ka izmantojums apsteigs „ielāpu”

Par ievainojamību Badlock tika ziņots jau iepriekšējā apskata ievadā. Pagaidām nekas nav mainījies: joprojām gaidām sīkākas ziņas par šo ievainojamību 12. aprīlī, otrdienā, pēc kārtējā Microsoft „ielāpu” komplekta izlaišanas. Microsoft tīkla datņu apmaiņas protokola realizācijai ir tāda pati ievainojamība kā atvērtā pirmkoda protokolam Samba.

 

Badlock ievainojamības pieteikums īpašā minivietnē badlock.org.

Badlock ievainojamības pieteikums īpašā minivietnē badlock.org.

Visi turpina apspriest, vai ievainojamības pieteikums, ko sniedza uzņēmuma SerNet pētnieki (un vienlaikus Samba uzturētāji), bijis pieļaujams no ētikas viedokļa. SerNet motivācija ir skaidra — viņi (oficiāli) vēlas, lai neskaitāmo potenciāli neaizsargāto serveru administratori un atkarīgās programmatūras izstrādātāji iepriekš sagatavojas, bet (neoficiāli) neiebilst pret plašsaziņas līdzekļu un potenciālo klientu lielākas uzmanības pievēršanu savam uzņēmumam, kurš darbojas kiberdrošības jomā.

Tādas pieejas pretiniekiem ir savi argumenti:
Viņi drošību pārvērš par farsu. Tas ir nekonstruktīvs arguments, tāpēc to neapspriedīsim.
Iepriekšējs paziņojums par ievainojamību ļauj ļaunprāšiem izstrādāt ekspluatējumu un lietot to, kamēr vēl nav izlaists „ielāps”.

Tas ir saprātīgs arguments, kas saņēma atbalstu. Viens no SerNet darbiniekiem un vienlaikus arī Samba autors ir Štefans Mecmahers, un dabiski, ka viņa pienesums Samba kodā uzreiz nonāca uzmanības centrā. Piemēram, modulī lock.c (interesanta līdzība ar ievainojamības nosaukumu) ir šāds minētā izstrādātāja komentārs:

/* this is quite bizarre – the spec says we must lie about the length! (tas ir diezgan dīvaini — specifikācija prasa, lai norādām nepareizu garumu!) */

Bet tad, ja nav kārtības ar garuma noteikšanu, nākamais solis var būt bufera pārpilde un patvaļīga koda izpilde. Tomēr pagaidām nav pierādījumu, ka kļūda ir tieši tur (interesenti var izmantot šo saiti, lai pārietu uz github).

Tāds iepriekšējais pieteikums neļauj sagatavoties. Intervijā vietnei Threatpost to netieši apstiprina SANS Institute pētnieks Larss Ulrihs. Viņaprāt, plašākas informācijas atklāšana tiešām varētu palīdzēt ekspluatējumu rakstītājiem. Taču pašreizējā informācija ievainojamības vietnē nav arī pietiekama, lai sagatavotos labojuma uzstādīšanai. Sagatavoties — tas nozīmē uzrakstīt noteiktu portu skeneri, veikt infrastruktūras inventūru, lai atrastu neaizsargātās Samba versijas, novērtēt mērogus. Bet tagad atliek vien gaidīt un baidīties — un tā nav nekāda sagatavošanās.

Vienlaikus SANS Institute speciālists uzskata, ka agrie pieteikumi tomēr varētu būt efektīvi: pēc „ielāpa” izlaišanas tie noteikti pozitīvi ietekmētu tā uzstādīšanas dinamiku. Tiesa, Ulrihs arī domā, ka tādi pieteikumi vajadzīgi tikai ļoti nopietnām ievainojamībām, jo pretējā gadījumā šī metode nebūs efektīva. Secinājums: ievainojamības Badlock pieteikums dod vairāk labuma, nekā nodara ļaunumu. Tomēr metodiku vajadzētu uzlabot.

Izmantoti Kaspersky Lab materiāli.

Birkas:
Iepriekšējais raksts
Nākošais raksts

Komentēt

Jūsu e-pasts netiks publicēts. Obligātie lauki ir iezīmēti *

*

+ 61 = 66

Kaspersky Lab - Vislabākā aizsardzība, lieliskas cenas!
Uz augšu