Archive | September 2015

#fsociety_280915

Дайджест новин з інформаційної безпеки за вересень

DeNiro_Heat_Sig220_brass_check

Ніл МакКоулі був би вражений, якби дізнався що 1 мільйон $ можна отримати без пограбування банку…

Як ви уже могли здогадатися, основний тренд цього випуску – безпека iOS & Android.

#1 – на початку місяця стало відомо про одразу кілька 0day-вразливістей у рішеннях FireEye.

Вразливості актуальні для webMPS operating system v 7.5.1. За інформацією дослідників Felix Wilhelm (ERNW) та Kristian Erik Hermansen джерелом вразливостей виявилося те, що програмний модуль використовував пару Apache+PHP запущені від імені користувача root. Дослідники відзначають, що така помилка є неприпустимою для компанії, чий бізнес відноситься до сфери інформаційної безпеки:

Why would you trust these people to have this device on your network?!” (с) Kristian Erik Hermansen

Але прикре в цій новині не вразливість (зрештою від них не убезпечена жодна компанія), а реакція FireEye на розкриття подробиць. Спершу,  компанія-розробник застосувала цензуру стосовно доповіді Felix Wilhelm, який збирався розповісти про знайдені вразливості на конференції 44CON. Згодом FireEye узагалі подала до суду на компанію у якій працював дослідник. У той же час Kristian Erik Hermansen повідомив, що розглядає пропозиції стосовно продажу інформації про знайдені ним вразливості, оскільки йому не вдалося дійти згоди із FireEye стосовно компенсації. Стартова ціна за 1 вразливість – $10,000. Хто цікавиться технічними подробицями, може ознайомитися із звітом ERNW (~400 Kb, PDF).

Аналітика: вендор має право і повинен дбати про репутацію власних продуктів, але це не повинно супроводжуватися цензурою та судовими переслідуваннями. Для репутації компанії, а найголовніше, для безпеки її замовників завжди краще домовлятися із дослідниками, інакше, результатом такої агресивної політики стане те, що наступного разу дані про нові вразливості будуть одразу продані комусь на кшталт VUPEN або Zeroduim. Крім того, очевидно, що FireEye варто переглянути процес контролю власних програмних засобів.

#2 – восьмого вересня в рамках програми Patch Tuesday компанія Microsoft випустила оновлення, яке усуває вразливість у Windows Media Center (CVE-2015-2509) яка дозволяла виконання довільного коду. Цікаво, що інформація про цю вразливість була отримана в результаті аналізу витоку даних Hacking Team. Для тих, хто не байдужий до Metasploit та бажає власноруч перевірити дану вразливість маю гарну новину – модуль під цю вразливість був включений до msf: ms15_100_mcl_exe.

Поради: Для того, щоб подібні вразливості не призвели до лиха варто підтримувати ОС та ПЗ у актуальному стані, не працювати під обліковим записом з адміністративними привілеями і не обмежуватися одним антивірусом.

#3 – дев’ятого вересня стало відомо, що мобільний додаток Яндекс.Навігатор може самовільно записувати розмови та звуковий фон на карту пам’яті. Про таку поведінку додатка повідомив один із користувачів у мережі FaceBook, який помітив це лише після того, як на картці пам’яті не залишилося вільного місця:

Сегодня телефон выдал предупреждение, что на sd-карте осталось мало памяти. Очень удивился, полез проверять. Оказалось, что в корне лежит некий файл stream.wav, в который активно пишется инфа. Послушал – оказалось, что там с микрофона записаны все происходившие события, разговоры, переговоры за последние 2 дня

Незабаром стала відома офіційна реакція розробників. Варто відзначити, що це вже не переший випадок підозрілої поведінки застосунків цього виробника. Так, у лютому стало відомо про те, що Яндекс.Метро збирає та передає на сервери розробника інформацію про точки доступу та ін. Офіційна реакція розробників в обох випадках була витримана в одній тональності: “Це помилка, уже виправили. Вибачте“..

Аналітика: Ці два випадки є яскравим свідченням того, що додатки, якими користуються володарі розумних мобільних пристроїв, досить часто крім своєї основної функції (прокласти маршрут, показати схему метро) можуть виконувати побічні функції. Проблема полягає у тому, що користувачі не контролюють дозволи додатків, а розробники у свою чергу, вважають зайвим сповіщати користувача про такий “прихований” функціонал. Я глибоко переконаний, що такий збір даних діє не лише у додатках від Яндекса, але й у інших популярних застосунках. Тут варто згадати наступну фразу: “Якщо ви користуєтесь чимось безкоштовно, пам’ятайте що товаром є ви самі“. Звісно, компанії-розробники збирали і будуть далі намагатися збирати інформацію про користувачів, їх маршрути та уподобання, і особисто мене не хвилює якими формулюваннями вони будуть виправдовувати такі “помилки”. Урок, який дають нам ці історії досить простий – або використовувати сторонні застосунки, які дають можливість контролювати активність додатків (це може вимагати root а від так збільшує ризики), або ж не інсталювати додатки, а користуватися Web версіями таких послуг (цей спосіб буде легшим для більшості користувачів). Переглянути карту через бравзер мобільного пристрою чи ставити додаток, який вимагатиме купу зайвих дозволів і можливо збиратиме інформацію про вас та ваші пересування – кожен має вирішити сам.

#4 – того ж таки 9-го вересня компанія Zimperium опублікувала експлойт під Stagefright. Крім лістингу експлойта та відео доповіді з конференції Black Hat також стали доступними слайди презентації Joshua J. Drake. Рекомендую для ознайомлення усім, кому не байдужа тема безпеки платформи Android.

Аналітика: Не дивлячись на старання Google та Samsung, обидві компанії просто не в змозі запровадити процес оновлення усіх вразливих пристроїв. Більша частина апаратів від інших виробників та із старою версією прошивки (Android 2.x & 3.x) так і залишиться вразливою. Крім того, варто враховувати, що оновлення, які було опубліковано у відповідь на розкриття вразливості, закривають лише один вектор (MMS) із десяти можливих. Брюс Шнайєр не просто так переймався безпекою IoT, адже на відміну від звичайних комп’ютерів, мобільні пристрої важче оновлювати і захищати, особливо коли мова йде про системи на базі Android.

#5 – 10-го вересня від дослідників компанії ESET стало відомо про новий вид Android ransomware, який може блокувати пристрій, змінюючи PIN блокування екрану і вимагати $500 за розблокування. Вірус не вимагає наявності root, натомість вводячи користувача в оману (фейкове повідомлення про оновлення) отримує права адміністратора і блокує пристрій. Якщо володар не дбав про резервні копії – єдиний вихід це Hard Reset = втрата інформації, що була на пристрої.

Аналітика: Враховуючи успіх монетизації вірусів, що займаються здирництвом на Windows-системах (чого вартий лише один CTB-Locker), годі було сподіватися, що вони не мігрують на мобільні платформи, адже захищеність таких систем і рівень обережності користувачів, як правило, значно нижчий за ПК. Хід думок зловмисників простежити не важко – більшість користувачів не дбають про бекапи, а отже контакти, фотографії та інша персональна інформація, що обробляється пристроєм, зберігається на ньому (рідко в хмарі) в єдиному екземплярі. Тож, неуважний користувач радше заплатить викуп, аніж втратить ці дані. Володарям розумних пристроїв залишається дбати про резервні копії, антивірусний захист та бути пильними перш ніж давати якомусь додатку доступ чи встановлювати незрозумілий “Security Update”.

#6 – 11-го вересня розробники Mozilla повідомили про те, що з початку 2016-го року Firefox припинить підтримку RC4, тобто не буде встановлювати з’єднання із сайтами, що захищені цим застарілим шифром. Розробники Microsoft (IE) та  Google (Chrome) також скасують підтримку цього шифру. Така відмова спричинена високою вірогідністю копрометації з’єднань, що захищені RC4.

Особиста думка: Шкода, що разом із RC4 не відкличуть підтримку Adobe Flash Player…

#7 – 15-го вересня завдяки дослідникам компанії FireEye стало відомо про SYNful Knock, імплант (backdoor) у пристроях Cisco. Дослідники пов’язують цю новину із серією атак на обладнання Cisco у серпні, які супроводжувалися заміною прошивки. Cisco підтвердила наявність імплантів. Достеменно відомо, що імпланти було виявлено у таких моделях:

  • Cisco 1841 router
  • Cisco 2811 router
  • Cisco 3825 router

Аналітика: Судячи з того, що мова йде про backdoor, “зашитий” у прошивку пристроїв, постає питання: звідки взялися пристрої з модифікованою прошивкою? Де саме відбулась підміна та на якому рівні? Урок такий: оновлення ПЗ варто завантажувати лише з офіційних джерел і в обов’язковому порядку перевіряти контрольні суми.

#8 – 17-го вересня завдяки старанням дослідників Palo Alto Networks стало відомо про XcodeGhost, вірус, що вражав додатки для платформи Apple iOS. Особливістю даної загрози є те, що вірус розповсюджувався через модифіковані дистрибутиви середовища для розробки iOS додатків. Тобто фактично ми говоримо про компілятор із “закладкою”. Дистрибутиви Xcode були завантажені на файлообмінні сервери в Китаї, а від так постраждали ті фірми розробники, чиї співробітники знехтували офіційними джерелами і не перевірили контрольні суми. Як мінімум два додатки, що були скомпільовані на уражених середовищах розробки пройшли модерацію і були додані у AppStore. Інфіковані застосунки могли видавати запит паролю, перехоплювати перехід по URL та читати вміст буферу обміну. На даний момент інфіковані версії додатків вилучені з магазину.

Аналітика: Серед нещодавніх атак на iOS варто згадати WireLurker та KeyRaider. На відміну від них XcodeGhost починає свій шлях з компрометації середовища розробки, що робить його універсальним (він не потребує jailbreak) та підвищує шанси на проходження модерації у магазині AppStore. Урок з цієї історії такий: розробникам важливо дбати про “чистоту” не лише їх коду але й середовищ розробки, а користувач потрібен чітко контролювати перелік довірених додатків.

#9 – 18-го вересня стало відомо, що компанія D-Link помилково опублікувала низку ключів якими підписують додатки. Ключі були знайдені у оновлені прошивки до відеокамери. Таким чином, зловмисники (які могли натрапити на ці ключі раніше) могли підписувати шкідливий код офіційними ключами D-Link. Важливим є те, що дані файли знаходилися у публічному доступі кілька місяців перш ніж стало відомо про їх вміст. Не дивлячись на те, що строк дії ключів закінчився у вересні, будь-який код підписаний ними до цього моменту буде мати легітимний цифровий підпис.

Аналітика: Ми знову бачимо приклад недбалості розробників. Сертифікати відіграють значну роль в механізмах безпеки. Такі інциденти підривають довіру до сертифікатів, адже отримати можливість підписати троян дійсним цифровим підписом – це справжній подарунок для зловмисника. Варто згадати деталі атаки на корпорацію Sony – частина коду, який використовували зловмисники був підписаний викраденими ключами самої корпорації. Розробникам варто дбати про безпеку ключів та перевіряти автоматизацію процесів.

#10 – 21-го вересня компанія Zerodium, що спеціалізується на продажі 0day вразливостей, пообіцяла 1 мільйон $ за експлойт під iOS 9. Цікаво, що крім купи кількості грошей ця так звана bug bounty program має обмеження по часу – заявки прийматимуться лише до 31-го жовтня, а сам код мусить відповідати переліку жорстких вимог: можливість віддаленої інсталяції, різні вектори атаки, процес активації не повинен залежати від користувача і т. ін.

Аналітика: На мою думку, це одна із найголовніших новин місяця. І справа тут не у кількості $. Зараз спробую пояснити:

I. Сам факт такого змагання підкреслює наскільки цінними є експлойти, що дозволяють компрометувати мобільні пристрої. Не секрет, що пристрої Apple перш за все сприймаються суспільством як гаджет, що підкреслює статус свого володаря, а вже потім розглядаються як засіб спілкування. Багато ТОП-менеджерів та керівників різних компаній надають перевагу iPhone та iPad, а це значить що пристрої таких користувачів є ідеальною точкою входу для зловмисників + на цих пристроях можна знайти цінну інформацію.

II. Не дивлячись на гучні інциденти довкола захищеності пристроїв Apple: проблеми з авторизацією, витік даних знаменитостей через iCloud, активну еволюцію вірусів (WireLurker, KeyRaider, XcodeGhost) варто відзначити той факт, що архітектура iOS з точки зору безпеки спроектована краще за Android. Тому не дивно, що компрометація iOS є своєрідним викликом (challenge) для дослідників та гравців, що перебувають на темному боці. Сам факт причетності до хаку актуальної версії прошивки стане своєрідною візитною карткою, авторитетом для того, хто спроможний надати робочий експлойт.

ІІІ. Я бачу цю ситуацію трохи інакше. Експлойт це плід тривалої праці. Ескплойт під останню версію захищеної платформи – це своєрідний артефакт. Той факт, що Zerodium висунула обмеження по часу і пропонує таку велику винагороду наштовхує на думку, що ціллю цього конкурсу може бути не сам експлойт:

  • Zerodium отримає контакти талановитих дослідників, які надсилатимуть свої роботи = база потенційних майбутніх найманих консультантів;
  • швидше за все, призовий фонд не буде виплачено у повному обсязі, адже ймовірність існування експлойту, який би задовольняв усі вимоги та був готовий до завершення конкурсу досить низька (хоча я можу помилятися);
  • Zerodium отримає зразки коду, який може передати власним дослідникам, або тим, чиї роботи були найкращими для подальшої доробки. Так чи інакше компанія буде у виграші;
  • обмеження по часу могло бути введене спеціально для того, щоби жоден з учасників не міг дістатися цілі, або ж у компанії є конкретне замовлення з чіткими строками – тоді вартість замовлення явно вище тої винагороди, яка пропонується..

#11 – 21-го вересня стало відомо, що співробітники Symantec, які помилково випустили pre-certificate для доменів google.com були звільнені. Сертифікати начебто були випущені для внутрішнього тестування. Не важко зрозуміти, що існування таких сертифікатів знову ж таки підриває довіру до самої системи сертифікатів, адже працівники CA або зловмисники могли скористатися ними для здійснення так званих man-in-the-middle атак адже вони були легітимними для бравзерів. Сертифікати було відстежено співробітниками компанії Google в рамках їх проекту Certificate Transparency.

Аналітика: Кожен мусить зробити свої висновки з даної історії. Звісно, жодна з компанії не готова відмовитися від застосування сертифікатів або заміни. Добре, що Google запровадив програму відстеження, а якби її не було? Як довго б ці сертифікати були валідними? Користувачам варто слідкувати за оновленням бравзерів (FF, Chrome) та ОС (IE) щоби мінімізувати ризики та актуалізувати списки відкликаних сертифікатів (а вони будуть з’являтися неодмінно). Якщо говорити про сертифікати які було викрадено або помилково випущено – наявні механізми перевірки сертифікатів (які вбудовані в бравзер або ж в пристрої мережевого захисту) безсильні, адже з точи зору перевірки – сертифікат виглядає дійсним.

#12 – 22-го вересня Tavis Ormandy, член команди Project Zero (Google) опублікував інформацію про вразливості у антивірусі Kaspersky. За словами дослідника джерелом вразливостей є неправильна імплементація технологій розпаковки та емуляції коду, які до того ж виконуються від імені SYSTEM. Частково, знайдені вразливості були закриті оновленнями продуктів. Цікаво, чому цього не було зроблено раніше.

Аналітика: Наявність архітектурних недоліків у 15-й та 16-й версіях антивірусу, які дозволяють виконання довільного коду від імені системи не дозволяють говорити про можливість застосування даних засобів ні в корпоративному ні в користувацькому середовищі. Якість самого коду та його контроль не відповідають тому рівню, який заявляє про себе компанія.

#13 – 23-го вересня стало відомо, що в результаті атаки на Федеральне управління персоналом США зловмисники отримали доступ до ~21,5 мільйонів форм із відбитками пальців співробітників та підрядників федеральних установ. Раніше повідомлялося про значно нижчі цифри. Факт витоку даних підтверджено самою організацією. Така велетенська кількість відбитків співробітників з різним рівнем доступу викликає занепокоєння, адже варто пригадати, що більшість звичайних біометричних систем можуть бути обійдені за допомогою фотографії відбитка (дослідження 2014-го року).

Аналітика: На жаль, скомпрометований пароль змінити можна, чого не скажеш про відбитки. Така велетенська база відбитків держслужбовців становить потенційну загрозу інформації, до якої вони мали доступ. Фактично це ставить організації перед вибором – або витрачати додаткові кошти на модернізацію сканерів відбитків (щоб їх було не так просто обдурити), або змінювати протоколи доступу і переходити із скану відбитків на скан долоні/рогівки ока/обличчя.

#14 – 24-го вересня з блогу французького дослідника Kafeine стало відомо про новий зразок банківського трояну Shifu. Розгляд механізму роботи цього вірусу було опубліковано в блозі McAfee Labs. Даний троян відрізняється тим, що поєднує у собі механізми різних представників кібер-загроз, а саме:

  • код вірусу написаний з використанням обфускації та технік, що перешкоджають аналізу (ймовірно запозичено у Zeus);
  • при активації троян видаляє System Restore (можливі паралелі з CTB-Locker або ж більш древнім Conficker);
  • код націлений на пошук та передачу на C&C сертифікатів, токенів, паролів;
  • обмін даними з керуючими серверами відбувається через локальний Apache сервер, що не типово для цього класу загроз;
  • аналіз розшифрованих коментарів в коді вказує на російський слід (який так само може виявитися підробкою).

Базова комплектація трояну включає в себе наступні модулі: кейлогер, модуль перехоплення знімків екрану та сертифікатів, інструмент віддаленого керування.

Аналітика: Віруси продовжують еволюціонувати. Каталізатором цього процесу з одного боку є підвищення здібностей розробників такого коду, а з іншого – більший відсоток прибутку, який автор може отримати. Фінансовим установам, та й усім іншим варто запроваджувати системи  аналізу поведінки, засоби контролю запуску додатків і слідкувати за привілеями користувачів. Складність та модульність сучасних вірусів зайвий раз підкреслює очевидний факт – одним антивірусом не прикриєшся.

#15 – 24-вересня стало відомо про те, що в образах ОС Windows, які йшли в комплекті з ноутбуками Lenovo було знайдено програмний засіб, який збирав та надсилав компанії дані про дії користувача. Не зважаючи на те, що така поведінка вкладається у рамки ліцензійної угоди (End User License Agreement) поведінка такого модуля може бути розцінена як прихований збір даних. Важливо зауважити, що цього разу мова йде про лінійку ноутбуків, що орієнтовані на корпоративний сегмент. Варто зазначити, що це вже не переший випадок з програмним забезпеченням яке постачається з системами Lenovo: на початку року стало відомо про т.з. SuperFish, а у серпні стало відомо про rootkit-техніки які дозволяли встановлювати ПЗ без дозволу користувачів.

Аналітика: Прикро, що один із основних постачальників техніки для бізнесу опускається до рівня шпигунства за користвачами. Якщо згадати фразу про користування чимось безкоштовно, то Lenovo дає зрозуміти – навіть якщо ви платите чималі гроші за техніку, це не є гарантією того, що ви не перестаєте бути товаром. Проблема не у самій компанії (зрештою я не здивуюся, якщо завтра виявиться що хтось із інших вендорів теж напів-потайки збирає дані). Проблема у тому, що це стає звичною практикою. Моя порада тим, хто переймається власною безпекою – купуючи техніку, затирайте диск і перевстановлюйте ОС з образа, якому довіряєте. І пам’ятайте старе правило – чим менше у системі мотлоху, призначення якого вам не відоме – тим вище рівень безпеки.

~ ~ ~ ~ ~

Висновки:

Ставки зростають. Змагання запроваджене Zerodium дає чітко зрозуміти, що шматок коду дійсно може вартувати великих грошей. Сума призового фонду вища за ті кошти, які більшість компаній витрачають на MDM системи. Неприємні начебто помилки у додатках Яндекса показують наскільки може бути небезпечним користування звичними додатками. Факт активізації ransomware на платформі Android та аналогічний функціонал у KeyRaider під iOS свідчить про те, що зловмисники шукають нових жертв для здирництва (і вони обов’язково їх знайдуть). Інциденти із сертифікатами/ключами зайвий раз є свідченням недосконалості механізмів сертифікації. Вразливості у мережевому обладнанні та рішеннях безпеки примушують задуматися про те, що безпека мусить бути не лише бізнесом за гроші, інакше зловмисники будуть на крок попереду (по ціні призового фонду так точно). Процес розкриття подробиць вразливостей мусить бути в рамках етики – дослідник повинен повідомляти розробників і давати їм час на усунення, а розробник у свою чергу мусить виплатити компенсацію, як винагороду + страховку від перепродажу. Судові позови та цензура не призведуть ні до чого хорошого. Трояни стають складнішими і розумнішими і це треба враховувати, головне не застосовувати діряві механізми емуляції та розпаковки інакше антивірусний скан стане точкою входу, а не бар’єром на шляху інфекції.

Наразі у мене все.

Будьте пильними та обережними при використанні високих технологій.

Advertisements

Intel Security Endpoint Protection 2015

Обновил свою презентацию по комплектам защиты конечных точек.

EPS_table

Добавил больше информации по еРО, расширил описание модулей.

Также внес информацию по MOVE, Email и Web Gateway.

Настоятельно рекомендую обратить внимание на слайд № 46

Информация будет полезной для специалистов ИТ/ИБ подразделений.

Если Slideshare для вас не удобен, вот прямая ссылка на pdf (~ 2Mb).

Хорошего всем дня и будьте предельно внимательны при использовании ИТ.

Vladislav Radetskiy | Technical Lead | BAKOTECH GROUP