Sākumlapa » Apdraudējumi » Drošības nedēļa 2016 16: pele uzlauzta no 225 metru attāluma, šifrējošo Trojas zirgu detektors operētājsistēmai Mac OS X, miljons dolāru par iPhone uzlaušanu

Drošības nedēļa 2016 16: pele uzlauzta no 225 metru attāluma, šifrējošo Trojas zirgu detektors operētājsistēmai Mac OS X, miljons dolāru par iPhone uzlaušanu

Svarīgākā atšķirība šodienas IT drošības jaunumu klāstā, salīdzinot, teiksim, ar pērno rudeni, ir vētraini strīdi par un sakarā ar datu šifrēšanu. Viss sākās ar teorētiskiem pētījumiem par iespējamām SHA-1 ievainojamībām, pēc tam tēma ieguva praktisku nozīmi sakarā ar Apple un FIB strīdu, tūlītējās ziņojumapmaiņas programmas Whatsapp datu pilnīgu šifrēšanu un ar lielākas uzmanības pievēršanu šifrējošiem Trojas zirgiem. Šifrējošiem Trojas zirgiem varbūt arī nav tieša sakara ar tēmu, bet grūti nepamanīt likteņa ironiju: vienā gadījumā progresīvā sabiedrība ar rokām un kājām balso par visu datu šifrēšanu, bet otrajā tai sāp sirds, ka dati, tiesa, bez atļaujas, tiek šifrēti tik pamatīgi, ka neviens nevar tos atšifrēt.

Pagājušajā nedēļā FIB „caur puķēm” paziņoja, cik tam izmaksājusi iPhone 5c uzlaušana, kuras dēļ likumsargi pat tiesājās ar Apple. Par „nulles dienu” ievainojamību, kura ļāva apiet mobilās ierīces aizsardzības sistēmu, varētu būt samaksāts 1 miljons ASV dolāru. Pērnajā septembrī apmēram tādu pašu summu par ievainojamību solīja uzņēmums Zerodium. Gluži vai paliek bēdīgi ap sirdi: kāda jēga aizsargāt, ja bagātais tik un tā uzlauzīs… Taču neviens nevar garantēt datiem 100% drošību, un jebkuras aizsardzības uzdevums ir radīt tādu stāvokli, lai uzlaušana neatmaksātos. Tāpēc iPhone lietā šī ir laba ziņa: uzlaušana maksā dārgi.

Arī citi uzņēmumi negrasās atdot lietotāju datus par pliku velti. Vismaz tajos gadījumos, kad ar to neko nevar nopelnīt, bet var tikai sabojāt savu reputāciju. Pilnīgu visu komunikāciju šifrēšanu ir apsolījis arī Viber — viņi redzēšot tikai to, ka divi abonenti sazinās (tātad metadatus), nevis ziņojumapmaiņas saturu.

Vienīgi Blackberry joprojām atbalsta valsts iestāžu tiesības pēc pieprasījuma piekļūt jebkurai privātai sarakstei. Neviens jau īpaši neiebilst, tomēr šķiet, ka Blackberry, kas savulaik bija aizsargātu mobilo sakaru pionieris, tagad mazliet atpaliek no dzīves.

Datora uzlaušana caur bezvadu peli — tagad no 225 metru attāluma

„Neredzamās frontes cīnītāji” uzņēmumā Bastille Networks turpina pētīt ievainojamību, ar kuras palīdzību pagaidām nekas nav uzlauzts. Viss sākās februārī, kad pētnieki parādīja, kā, izmantojot peli, ievada rakstzīmes un tad, izmantojot autorizēšanās sistēmas ievainojamību, uzlauž jebkuru datoru neatkarīgi no tā operētājsistēmas.

 

13829803_m

 

Tātad vispirms ierīce, izmantojot ievainojamību, bez lietotāja sankcijas autorizējas USB uztvērējā kā pele, bet pēc tam sāk ievadīt datorā rakstzīmes kā tastatūra. Vairs nevajag ievietot sistēmā nekādu kaitīgo kodu, jo to tur var ierakstīt un uzreiz izpildīt. Lepni. Nu ir pagājuši divi mēneši, un šajā laikā pētnieki ir uzlabojuši rezultātu — ar pavisam lētu aparatūru (kopā ne vairāk par 50 ASV dolāriem), viņi palielinājuši USB uztvērēja uzlaušanas attālumu līdz 225 metriem, kas sākumā bija 100 metru. Bet ja tagad apdraudējums ir divarpus reižu bīstamāks, kāpēc neviens neko vēl nav uzlauzis? Taisnību sakot, varbūt mēs par to vienkārši neesam dzirdējuši: ej nu sazini, kas un kur noticis.

Vidusmēra kibernoziedzniekam tāda metode joprojām noteikti ir pārāk sarežģīta. Ir pamats uzskatīt, ka arī mērķtiecīgu uzbrukumu rīkotājiem tā vēl ir eksotika. Kāda jēga skraidīt ar antenām, ja visu var izdarīt ar vienkāršākiem paņēmieniem? Tāpēc daudzajiem bezvadu peļu īpašniekiem atliek tikai iegādāties cita modeļa peli vai pacietīgi gaidīt, kamēr kāds izmantos šo ievainojamību. Daudziem USB uztvērējiem ievainojamību nemaz nevar novērst. Logitech ir pirmais uzņēmums, kurš to likvidējis savām pelēm; nesen tam pievienojās arī Microsoft. Un tagad atbildiet uz jautājumu: ja par šo problēmu pētnieki mums ir pastāstījuši, tad par cik daudzām tādām pašām kļūmēm mēs neko nezinām?

Mac OS X šifrētāju detektors un uztveres grūtības

Šifrējošie Trojas zirgi ir dažādi. Tie izmanto dažādus inficēšanas paņēmienus, bet reizēm —lietotāja vientiesību, kurš pats atļauj kaitīgā skripta darbību. Taču tiem visiem ir kopīga iezīme: agri vai vēlu šifrētāji ķeras pie datņu šifrēšanas.

Uzņēmuma Synack pētnieks Patriks Vardls nolēmis izmantot šo trūkumu un izstrādājis utilītprogrammu Ransomwhere. Tā sāk darboties, kad ir izpildīti divi priekšnosacījumi: ja (1) neuzticams process mēģina vienlaikus veikt (2) daudzu datņu šifrēšanu, tad utilītprogramma bloķē šo procesu un pieprasa lietotāja atļauju.

 

install

 

Tāda pieeja rada daudz problēmu, un pētnieks par lielāko daļu no tām godīgi brīdina savā emuārā. Viens no nedaudziem vērā ņemamiem Mac OS X Trojas zirgiem, KeRanger, tika izplatīts kopā ar populāro torentu programmu Transmission, tāpēc tam bija izstrādātāja parakstīts sertifikāts un Trojas zirga process bija uzticams. Un tas nav vienīgais paņēmiens, kā apiet šo utilītprogrammu.

Datu šifrēšanas mēģinājums nozīmē vienlaicīgu darbu ar daudzām datnēm, bet pēc šīs pazīmes šifrētāju nevar konstatēt — būs ļoti daudz aplamu iedarbju. Vardls izmanto kaut kādu „matemātisko maģiju” — aprēķina datu entropijas līmeni, kurš sagaidāmā veidā mainās, kad datne no parasta stāvokļa pāriet šifrētā stāvoklī. Bet šīs „maģijas” pamatā ir informācija par šifrēšanas tipveida algoritmiem, un ja kibernoziedznieki izmanto citu algoritmu vai oriģinālu algoritmu kombināciju, tad nevar droši zināt, vai „maģija” darbosies kā nākas.

Vispār jau nav nekādu pretenziju — tas ir pētniecības projekts, kura ietvaros viens speciālists izstrādājis programmu citiem speciālistiem. Vienīgā nelaime, ka plašsaziņas līdzekļi (piemērs, piemērs #2) pasniedz to, kā gatavu risinājumu, kas aizsargās pret visiem šifrējošiem Trojas zirgiem. Tā nav taisnība. Reālai aizsardzībai nepietiek ar vienu atsevišķu tehnikas šedevru. Koncepcija ir laba un arī Kaspersky Lab tādu izmanto, bet kombinācijā ar citiem paņēmieniem, par ko vairāk var uzzināt Kaspersky Lab produktu izplatītāja lapā. Tomēr ideālā gadījumā nospiedoši lielākā daļa šifrētāju vispār nedrīkst nonākt līdz tādai pārbaudei, jo tie jābloķē daudz agrāk — līdzko lietotājs uzklikšķina uz aizdomīgas URL adreses, vēl pirms kaitīgā skripta ielādēšanas.

Kas vēl notika pagājušajā nedēļā?

Cisco Talos turpināja pētīt atrasto serveru šifrētāju Samsam, kurš izmanto JBoss ievainojamību. Diemžēl viņi atraduši vairāk nekā 3 miljonus potenciāli neaizsargātu serveru, piemēram, skolās (60 000 Amerikas skolu) un bibliotēkās, kur darbojas šī programmatūra. Starp citu, ievainojamības labojumu izlaida pirms 6 gadiem.

29% Android ierīču netiek atjauninātas pietiekami ātri, lai tās varētu uzskatīt par drošām. Pērnajā oktobrī par nedrošām atzina 85% šādu ierīču. Kāpēc tāda starpība? Jauno pētījumu veicis pats uzņēmums Google, bet 85% konstatēja neatkarīgi pētnieki; protams, ka abos gadījumos izmantoti atšķirīgi kritēriji un metodika. Jebkurā gadījumā tas ir pārāk daudz.

Jauns Oracle labojums likvidē 136! ievainojamības. Septiņas no tām ir CVE skalas maksimālajā līmenī.

Notikumi Latvijā

Pašā pagājušās nedēļas sākumā ziņā “Policija brīdina par jaunu šifrēšanas vīrusa paveidu” ENAP Kibernoziegumu apkarošanas nodaļa brīdināja datorlietotājus par jaunu šifrēšanas vīrusa paveidu, kā arī par Android platformas apdraudējumiem.

CERT.LV iknedēļas ziņās pavēstīja, ka kādā DDoS uzbrukumā kā uzbrucēji bija iesaistītas arī 33 WordPress vietnes no Latvijas. Tas ir piemērs, kā savlaicīgi neatjaunināta programmatūra var novest pie datora vai servera izmantošanas kibernoziegumu veikšanā.

CERT.LV informēja arī par šifrējošā izspiedējvīrusa Cerber upuri. Vīrusa izplatīšanai tiek izmantota Adobe Flash Player ievainojamība. Tas nozīmē, ka nepatikšanās var iekulties, vienkārši atverot kādu interneta vietni, kura pirms tam uzlauzta vai caur to tiek demonstrēti inficēti reklāmas baneri. Nevajag domāt, ka no šādām vietnēm var izvairīties, apmeklējot tikai ļoti uzticamus resursus. Nesen New York Times, BBC, AOL un citi bija kļuvuši par izspiedējvīrusu izplatīšanas kampaņas upuriem.

Izmantoti Kaspersky Lab un CERT.LV materiāli.

Birkas:
Iepriekšējais raksts
Nākošais raksts

Komentēt

Jūsu e-pasts netiks publicēts. Obligātie lauki ir iezīmēti *

*

4 + 3 =

Uz augšu