Sākumlapa » Apdraudējumi » Drošības nedēļa 2016 01: JavaScript šifrējošais izspiedējs, $100k par Adobe Flash ekspluatējumu, anonīma saziņas sistēma ar lūku un nošifrēts Linux Latvijā

Drošības nedēļa 2016 01: JavaScript šifrējošais izspiedējs, $100k par Adobe Flash ekspluatējumu, anonīma saziņas sistēma ar lūku un nošifrēts Linux Latvijā

Pagājušais drošības gads noslēdzās ar pašās decembra beigās notikušo konferenci Chaos Communication Congress. Tās materiālus varat atrast internetā, meklējot ar atslēgvārdu 32c3. Hamburgas pasākumā varēja iepazīties ar daudziem interesantiem pētījumiem. Piemēram, eksperti Fēlikss Domke un Daniels Lange detalizēti pastāstīja par „dīzeļgeitas” tehniskajiem aspektiem un aplūkoja mūsdienu automobiļu vadības sistēmu darbības īpatnības. Bet šeit varam paskatīties apjomīgu prezentāciju uz 110 lappusēm par dzelzceļa sistēmu ievainojamību un secināt, ka vilcienos IT tiek izmantotas plaši, daudz un dažādos veidos, turklāt bieži vien ar standarta programmatūru (Windows XP) vai ar bezvadu sakaru tipveida protokoliem (GSM), kuru drošības trūkumi ir labi zināmi un tiek aktīvi ekspluatēti (labi, ka pagaidām citās jomās).

 

Internetā neviens nezina, ka tu esi suns.

Internetā neviens nezina, ka tu esi suns.

Savukārt te ir ziņa par to, ka individuālas programmēšanas stila īpatnības var atrast pat kompilētā kodā. Lai gan šī ir šauri speciāla tēma, te var saskatīt kaut ko vairāk: iespējams, ka drīzā nākotnē augstāk redzamais attēls vairs nemaz nebūs aktuāls. Ne jau tādēļ, ka visus izsekos, bet gan tāpēc, ka lietotāju varēs identificēt pēc viņa uzvedības — kā viņš mijiedarbojas ar interneta vietni un lietojumprogrammām vai kā dara vēl kaut ko citu — tieši tāpat kā programmētāju var pazīt pēc programmēšanas stila. Starp citu, Apple nupat nopirka kādu jauno uzņēmumu, kas nodarbojas ar cilvēku emociju analīzi. Vārdu sakot, 2016. gada sākums ir interesants. Bet mēs turpinām vērot.

JavaScript šifrējošā izspiedējprogramma ar iebūvētu “partneru programmu”

Ziņa par kārtējo izspiedējprogrammatūru (Ransom32) noteikti nav ierindojama sensacionālo kategorijā: nu, ir parādījusies jauna šifrējošā izspiedējprogramma, nu, ir tai mazliet atšķirīgs „iepakojums”… “Partnerprogramma” arī nav nekas agrāk neredzēts. Tomēr ir interesantais moments — tiek izmantots JavaScript un NW.js vide, kas ļauj izpildīt kodu nevis pārlūkprogrammas „smilšu kastē”, bet ar sistēmas tiesībām. Tādas pieejas blakne ir lielais Trojas zirga apjoms, 22 megabaiti, jo tur iekļauta interneta pārlūkprogramma Chromium un citas pilnīgi likumīgas utilītprogrammas.

 

Šifrējošās izspiedējprogrammas vadības konslole.

Šifrējošās izspiedējprogrammas vadības konslole.

Šādu neparastu pieeju varētu salīdzināt ar piedāvājumu lejupielādēt un uzstādīt Microsoft Office, lai vēlāk varētu ļaunprātīgi izmantot tās ievainojamības; godīgi sakot, tas nav efektīvākais uzbrukuma paņēmiens. Toties Trojas zirga autoru “partnerprogrammai” ir interesantas īpatnības. Par 25% no peļņas (vajag tikai reģistrācijas laikā norādīt bitmonētu maka datus) personām, kuras nolēmušas izvēlēties slideno kiberizspiedēja taciņu, ir pieejams Trojas zirgs, kuram viņas var patstāvīgi iestatīt pat izpirkšanas maksas apmēru. Darba rezultātus var kontrolēt konsolē (protams, izmantojot Tor). Vārdu sakot, interesants c2c (criminal-2-criminal) biznesa piemērs.

 

JavaScript šifrējošās izspiedējprogrammas izpirkuma maksas pieprasījums.

JavaScript šifrējošās izspiedējprogrammas izpirkuma maksas pieprasījums.

Lietotājs datora inficēšanas gadījumā redz izpirkuma maksas pieprasījumu. Tālāk viss notiek kā parasti: izpirkuma maksas prasība, summas pieaugums pēc noteikta laika, iespēja izmēģināt vienas savas datnes atšifrēšanu, turklāt procedūra ir automātiska. Kā jau tas diemžēl mēdz būt, atšifrēt datnes, izmantojot kādu ievainojamību, diez vai izdosies  — katrs fails šifrēts ar citu atslēgu.

Zerodium maksā līdz 100 000 dolāru par ekspluatējumu

Uzņēmums Zerodium jau bija nokļuvis industrijas mēdiju uzmanības fokusā pērn, kad tas bija izsludinājis rekordlielu balvu, 3 miljonus ASV dolāru, par efektīvu iOS ekspluatējumu. Šeit svarīgākais vārds ir „efektīvs” — ekspluatējumam jābūt tādam, lai ar to varētu attāli uzlauzt ierīci. Novembrī uzņēmums paziņoja, ka uzvarētājs (viens no sagaidāmajiem trim) ir noteikts, bet neko sīkām uzzināt mums nav lemts, jo tāda ir šī starpniekuzņēmuma īpatnība. Atrastos „caurumus” uzņēmums diskutablos nolūkos pārdod tālāk valsts iestādēm, kuras tos izmanto attiecīgā operatīvajā darbībā.

Tagad Zerodium atkal vēlas tikt vaļā no lielas naudas, jo nupat ir veiktas izmaiņas Adobe Flash kodā. Uzņēmums Adobe 21. decembrī paziņoja, ka ievieš Heap Isolation tehnoloģiju, tādēļ vairs nav iespējami daži “use-after-free” tipa uzbrukumi. Vārdu sakot, programma Flash (protams, pēc atjaunināšanas) būs daudz drošāka. Jauninājumam ir interesanta priekšvēsture. Adobe savā emuārā raksta, ka jauno tehnoloģiju ļāvusi ieviest sadarbība un pieredzes apmaiņa ar Microsoft un Google Project Zero (agrāk šī grupa sniedza ieteikumus par to, kā labāk aizsargāt Flash). Tas ir interesants un slavējams dažādu uzņēmumu speciālistu sadarbības paraugs.

Turklāt šķiet, ka arī gana efektīvs, ja jau „tumšie spēki” tagad nolēmuši tērēt lielu naudu. Starp citu, pērnvasar Adobe izziņoja pati savu “bug bounty” programmu, tiesa, bez naudas prēmijām. Turklāt parasti prēmijas, kuras programmatūras tirgotāji sola pētniekiem, gandrīz nekad nav rakstāmas ar sešiem cipariem — atšķirībā no Zerodium un tamlīdzīgu uzņēmumu solījumiem. Būtiski ir tas, ka „gaišie spēki” parasti neslēpj kļūdu meklēšanas procedūru un tās rezultātus, bet to, cik un kam samaksā Zerodium, neuzzina neviens.

Mūsdienu kriptogrāfijas tēvs sola pilnīgi anonīmu sistēmu PrivaTegrity … ar iebūvētu lūku

Deivids Čaums (David Chaum) ir šaurās aprindās plaši pazīstams datu šifrēšanas, tīmekļa anonimitātes un elektronisko maksāšanas līdzekļu teorētiķis. Šis slavenais un cienījamais kopienas dalībnieks apsprieda informācijas aizsardzību pasaules tīmeklī jau tad, kad paša tīmekļa vēl nemaz nebija, jo viens no viņa svarīgākajiem darbiem par anonimitātes saglabāšanu e-pasta sarakstē tika publicēts (PDF) 1981. gadā. Žurnālā Wired 6. janvārī iespiests raksts par Čauma jauno izstrādni — sistēmu PrivaTegrity. Šī sistēma ļauj pasaules tīmeklī sazināties pilnīgi anonīmi, efektīvāk un drošāk kā līdzšinējos Tor un I2P tīklos. Nekādas tehniskas detaļas nav pieminētas (tās nav atrodamas arī Čauma interneta vietnē), bet tās nemaz nebija vajadzīgas, lai sāktos vētraina diskusija.

Jaunās sistēmas īpatnība ir algoritms, ar kuru var atņemt anonimitāti kādam no dalībniekiem. Čaums uzskata, ka ir bīstami atļaut vienai struktūrai vai valstij pārvaldīt sistēmu, tāpēc šo problēmu varētu atrisināt, sadalot atbildību starp deviņiem „administratoriem”. Tāda deviņu cilvēku padome varētu atmaskot iespējamo ļaunprāti tikai tad, ja par to pieņemtu vienprātīgu lēmumu (šeit laikam domāts, ka padomes locekļi varētu apvienoties tikai pret kādu nepārprotami noziedzīgu darbību). Jebkurā gadījumā tas nozīmē, ka pat šādā neticami labi aizsargātā sistēmā (noticēsim tai!) noteikti būs vajadzīga lūka.

Tātad Čauma iniciatīva ir mēģinājums atrast kompromisu starp parasta lietotāja vēlmi palikt anonīmam un tiesībaizsardzības iestāžu (arī visas sabiedrības) vēlēšanos novērst pilnīgi nekontrolējama sakaru kanāla izveidošanu, jo tādu kanālu nekavētos izmantot noziedznieki, teroristi un citi antisociāli elementi. Oponenti uzskata, ka jebkuru tīšuprāt iebūvētu algoritma ievainojamību agri vai vēlu kāds sāks ļaunprātīgi izmantot. Ja būs atstāta lūka vieniem, tad neviens nevar garantēt, ka pa to neielīdīs arī citi. Čaumu pat sākuši apsūdzēt politiskā izpatikšanā valsts iestādēm: sak, kamēr vairums kriptogrāfijas speciālistu cenšas pierādīt valstij, ka lūkas — tas ir slikti, viens no kriptogrāfijas pīlāriem izvirza nozīmīgu argumentu par labu lūkām.

 

5

 

Būtu interesanti uzzināt šādas sistēmas tehniskās detaļas, lai gan jāšaubās, vai tās jelkad tiks publicētas pēc tik „laipnām” atsauksmēm. Pagaidām Čauma interneta vietnē varam aplūkot tikai skaistu ainiņu: 25 vārdā neminēti eksperti esot šo koncepciju atzinuši par labu. Vārdu sakot, turpinās interesantas kriptogrāfijas pārvērtības — tā joprojām ir tīri tehniska lieta, kas vienlaikus iegūst būtisku politisku nozīmi. Šķiet, ka nākotnē mūsu datu aizsardzība būs atkarīga nevis no tehnoloģijām (tās arī bez Čauma rūpēm nav sliktas), bet no tā, kā valsts, sabiedrība un pārējās ieinteresētās personas savstarpēji vienosies.

Notikumi Latvijā

Nozīmīgākā ziņa Latvijā IT drošības laukā nepārprotami bija saistīta ar ievainojamības labojumu programmatūrā eParakstītājs. Kā ziņo CERT.LV, ievainojamību atklāja IT drošības speciālists Oskars Veģeris sadarbībā ar SIA “BITI”. VAS LVRTC konstatēto programmatūras nepilnību ir novērsis. CERT.LV aicina lietotājus nekavējoties atjaunināt programmatūru eParakstītājs uz jaunāko versiju 3.0 1.3.1. Plašāk par to visu var uzzināt CERT.LV vietnē.

Diezgan neparasta un daudziem pārsteidzoša ir ziņa par to, ka Latvijā fiksēts ar šifrējošo izspiedējprogrammu Linux Encoder 1 inficēts serveris. Kā tiek ziņots, inficēšana notikusi caur Joomla ievainojamību, tomēr faili esot atgūti ar rezerves kopijas un īpaša antivīrusu skripta palīdzību. Viss labs, kas labi beidzas, tomēr ievainojamību labojumus jāuzstāda savlaicīgi. Zīmīgi, ka iepriekšējais pārskats arī beidzās ar savlaicīgi neuzstādītu Joomla labojumu. Šķiet, ka datortīklu pārziņiem Latvijā vairāk jāpievērš uzmanība programmatūras labojumu pārvaldības (patch management) rīkiem, kas mūsdienās ir ietverti vadošajos gala iekārtu drošības risinājumos.

Izmantoti Kaspersky Lab un CERT.LV materiāli.

Birkas:
Iepriekšējais raksts
Nākošais raksts

Komentēt

Jūsu e-pasts netiks publicēts. Obligātie lauki ir iezīmēti *

*

− 1 = 1

Uz augšu