Archive | #fsociety RSS for this section

Увага! Важливо.

Усім добро ранку та смачної кави.

Як ви могли звернути увагу, вже кілька тижнів сюди не заходив.

Маю для вас два важливих оголошення:

#1 Якщо у вас виникла потреба зв’язатись зі мною, прошу, використовуйте мою робочу скриньку:

                                    _   _     _       _                                          
                ____               | | (_)   | |     | |                                         
__   ___ __    / __ \    ___  _ __ | |_ _  __| | __ _| |_ __ _   ___ ___  _ __ ___   _   _  __ _ 
\ \ / / '__|  / / _` |  / _ \| '_ \| __| |/ _` |/ _` | __/ _` | / __/ _ \| '_ ` _ \ | | | |/ _` |
 \ V /| |    | | (_| | | (_) | |_) | |_| | (_| | (_| | || (_| || (_| (_) | | | | | || |_| | (_| |
  \_/ |_|     \ \__,_|  \___/| .__/ \__|_|\__,_|\__,_|\__\__,_(_)___\___/|_| |_| |_(_)__,_|\__,_|
               \____/        | |                                                                 
                             |_|

Зрозумійте, будь ласка, я не вирішую робочі питання у соц. мережах (фб, лінкедін).

Я не користуюся Skype та Viber.

Через email я швидше зреагую, а інакше – ваше повідомлення може відфільтрувати фб і я його побачу через місяць.

 

#2 Можу не встигати публікувати маркери (IOC) тут.

Тому раджу стежити за нашою сторінкою у фб:

https://www.facebook.com/Optidata.com.ua/

 

Оце й усі зміни.

Слідкуйте за сторінкою в фб, чекайте на звіти та копії презентацій тут і у разі питань – пишіть на пошту.

Вдалого вам усім дня.

VR

Advertisements

#fsociety_280915

Дайджест новин з інформаційної безпеки за вересень

DeNiro_Heat_Sig220_brass_check

Ніл МакКоулі був би вражений, якби дізнався що 1 мільйон $ можна отримати без пограбування банку…

Як ви уже могли здогадатися, основний тренд цього випуску – безпека iOS & Android.

#1 – на початку місяця стало відомо про одразу кілька 0day-вразливістей у рішеннях FireEye.

Вразливості актуальні для webMPS operating system v 7.5.1. За інформацією дослідників Felix Wilhelm (ERNW) та Kristian Erik Hermansen джерелом вразливостей виявилося те, що програмний модуль використовував пару Apache+PHP запущені від імені користувача root. Дослідники відзначають, що така помилка є неприпустимою для компанії, чий бізнес відноситься до сфери інформаційної безпеки:

Why would you trust these people to have this device on your network?!” (с) Kristian Erik Hermansen

Але прикре в цій новині не вразливість (зрештою від них не убезпечена жодна компанія), а реакція FireEye на розкриття подробиць. Спершу,  компанія-розробник застосувала цензуру стосовно доповіді Felix Wilhelm, який збирався розповісти про знайдені вразливості на конференції 44CON. Згодом FireEye узагалі подала до суду на компанію у якій працював дослідник. У той же час Kristian Erik Hermansen повідомив, що розглядає пропозиції стосовно продажу інформації про знайдені ним вразливості, оскільки йому не вдалося дійти згоди із FireEye стосовно компенсації. Стартова ціна за 1 вразливість – $10,000. Хто цікавиться технічними подробицями, може ознайомитися із звітом ERNW (~400 Kb, PDF).

Аналітика: вендор має право і повинен дбати про репутацію власних продуктів, але це не повинно супроводжуватися цензурою та судовими переслідуваннями. Для репутації компанії, а найголовніше, для безпеки її замовників завжди краще домовлятися із дослідниками, інакше, результатом такої агресивної політики стане те, що наступного разу дані про нові вразливості будуть одразу продані комусь на кшталт VUPEN або Zeroduim. Крім того, очевидно, що FireEye варто переглянути процес контролю власних програмних засобів.

#2 – восьмого вересня в рамках програми Patch Tuesday компанія Microsoft випустила оновлення, яке усуває вразливість у Windows Media Center (CVE-2015-2509) яка дозволяла виконання довільного коду. Цікаво, що інформація про цю вразливість була отримана в результаті аналізу витоку даних Hacking Team. Для тих, хто не байдужий до Metasploit та бажає власноруч перевірити дану вразливість маю гарну новину – модуль під цю вразливість був включений до msf: ms15_100_mcl_exe.

Поради: Для того, щоб подібні вразливості не призвели до лиха варто підтримувати ОС та ПЗ у актуальному стані, не працювати під обліковим записом з адміністративними привілеями і не обмежуватися одним антивірусом.

#3 – дев’ятого вересня стало відомо, що мобільний додаток Яндекс.Навігатор може самовільно записувати розмови та звуковий фон на карту пам’яті. Про таку поведінку додатка повідомив один із користувачів у мережі FaceBook, який помітив це лише після того, як на картці пам’яті не залишилося вільного місця:

Сегодня телефон выдал предупреждение, что на sd-карте осталось мало памяти. Очень удивился, полез проверять. Оказалось, что в корне лежит некий файл stream.wav, в который активно пишется инфа. Послушал – оказалось, что там с микрофона записаны все происходившие события, разговоры, переговоры за последние 2 дня

Незабаром стала відома офіційна реакція розробників. Варто відзначити, що це вже не переший випадок підозрілої поведінки застосунків цього виробника. Так, у лютому стало відомо про те, що Яндекс.Метро збирає та передає на сервери розробника інформацію про точки доступу та ін. Офіційна реакція розробників в обох випадках була витримана в одній тональності: “Це помилка, уже виправили. Вибачте“..

Аналітика: Ці два випадки є яскравим свідченням того, що додатки, якими користуються володарі розумних мобільних пристроїв, досить часто крім своєї основної функції (прокласти маршрут, показати схему метро) можуть виконувати побічні функції. Проблема полягає у тому, що користувачі не контролюють дозволи додатків, а розробники у свою чергу, вважають зайвим сповіщати користувача про такий “прихований” функціонал. Я глибоко переконаний, що такий збір даних діє не лише у додатках від Яндекса, але й у інших популярних застосунках. Тут варто згадати наступну фразу: “Якщо ви користуєтесь чимось безкоштовно, пам’ятайте що товаром є ви самі“. Звісно, компанії-розробники збирали і будуть далі намагатися збирати інформацію про користувачів, їх маршрути та уподобання, і особисто мене не хвилює якими формулюваннями вони будуть виправдовувати такі “помилки”. Урок, який дають нам ці історії досить простий – або використовувати сторонні застосунки, які дають можливість контролювати активність додатків (це може вимагати root а від так збільшує ризики), або ж не інсталювати додатки, а користуватися Web версіями таких послуг (цей спосіб буде легшим для більшості користувачів). Переглянути карту через бравзер мобільного пристрою чи ставити додаток, який вимагатиме купу зайвих дозволів і можливо збиратиме інформацію про вас та ваші пересування – кожен має вирішити сам.

#4 – того ж таки 9-го вересня компанія Zimperium опублікувала експлойт під Stagefright. Крім лістингу експлойта та відео доповіді з конференції Black Hat також стали доступними слайди презентації Joshua J. Drake. Рекомендую для ознайомлення усім, кому не байдужа тема безпеки платформи Android.

Аналітика: Не дивлячись на старання Google та Samsung, обидві компанії просто не в змозі запровадити процес оновлення усіх вразливих пристроїв. Більша частина апаратів від інших виробників та із старою версією прошивки (Android 2.x & 3.x) так і залишиться вразливою. Крім того, варто враховувати, що оновлення, які було опубліковано у відповідь на розкриття вразливості, закривають лише один вектор (MMS) із десяти можливих. Брюс Шнайєр не просто так переймався безпекою IoT, адже на відміну від звичайних комп’ютерів, мобільні пристрої важче оновлювати і захищати, особливо коли мова йде про системи на базі Android.

#5 – 10-го вересня від дослідників компанії ESET стало відомо про новий вид Android ransomware, який може блокувати пристрій, змінюючи PIN блокування екрану і вимагати $500 за розблокування. Вірус не вимагає наявності root, натомість вводячи користувача в оману (фейкове повідомлення про оновлення) отримує права адміністратора і блокує пристрій. Якщо володар не дбав про резервні копії – єдиний вихід це Hard Reset = втрата інформації, що була на пристрої.

Аналітика: Враховуючи успіх монетизації вірусів, що займаються здирництвом на Windows-системах (чого вартий лише один CTB-Locker), годі було сподіватися, що вони не мігрують на мобільні платформи, адже захищеність таких систем і рівень обережності користувачів, як правило, значно нижчий за ПК. Хід думок зловмисників простежити не важко – більшість користувачів не дбають про бекапи, а отже контакти, фотографії та інша персональна інформація, що обробляється пристроєм, зберігається на ньому (рідко в хмарі) в єдиному екземплярі. Тож, неуважний користувач радше заплатить викуп, аніж втратить ці дані. Володарям розумних пристроїв залишається дбати про резервні копії, антивірусний захист та бути пильними перш ніж давати якомусь додатку доступ чи встановлювати незрозумілий “Security Update”.

#6 – 11-го вересня розробники Mozilla повідомили про те, що з початку 2016-го року Firefox припинить підтримку RC4, тобто не буде встановлювати з’єднання із сайтами, що захищені цим застарілим шифром. Розробники Microsoft (IE) та  Google (Chrome) також скасують підтримку цього шифру. Така відмова спричинена високою вірогідністю копрометації з’єднань, що захищені RC4.

Особиста думка: Шкода, що разом із RC4 не відкличуть підтримку Adobe Flash Player…

#7 – 15-го вересня завдяки дослідникам компанії FireEye стало відомо про SYNful Knock, імплант (backdoor) у пристроях Cisco. Дослідники пов’язують цю новину із серією атак на обладнання Cisco у серпні, які супроводжувалися заміною прошивки. Cisco підтвердила наявність імплантів. Достеменно відомо, що імпланти було виявлено у таких моделях:

  • Cisco 1841 router
  • Cisco 2811 router
  • Cisco 3825 router

Аналітика: Судячи з того, що мова йде про backdoor, “зашитий” у прошивку пристроїв, постає питання: звідки взялися пристрої з модифікованою прошивкою? Де саме відбулась підміна та на якому рівні? Урок такий: оновлення ПЗ варто завантажувати лише з офіційних джерел і в обов’язковому порядку перевіряти контрольні суми.

#8 – 17-го вересня завдяки старанням дослідників Palo Alto Networks стало відомо про XcodeGhost, вірус, що вражав додатки для платформи Apple iOS. Особливістю даної загрози є те, що вірус розповсюджувався через модифіковані дистрибутиви середовища для розробки iOS додатків. Тобто фактично ми говоримо про компілятор із “закладкою”. Дистрибутиви Xcode були завантажені на файлообмінні сервери в Китаї, а від так постраждали ті фірми розробники, чиї співробітники знехтували офіційними джерелами і не перевірили контрольні суми. Як мінімум два додатки, що були скомпільовані на уражених середовищах розробки пройшли модерацію і були додані у AppStore. Інфіковані застосунки могли видавати запит паролю, перехоплювати перехід по URL та читати вміст буферу обміну. На даний момент інфіковані версії додатків вилучені з магазину.

Аналітика: Серед нещодавніх атак на iOS варто згадати WireLurker та KeyRaider. На відміну від них XcodeGhost починає свій шлях з компрометації середовища розробки, що робить його універсальним (він не потребує jailbreak) та підвищує шанси на проходження модерації у магазині AppStore. Урок з цієї історії такий: розробникам важливо дбати про “чистоту” не лише їх коду але й середовищ розробки, а користувач потрібен чітко контролювати перелік довірених додатків.

#9 – 18-го вересня стало відомо, що компанія D-Link помилково опублікувала низку ключів якими підписують додатки. Ключі були знайдені у оновлені прошивки до відеокамери. Таким чином, зловмисники (які могли натрапити на ці ключі раніше) могли підписувати шкідливий код офіційними ключами D-Link. Важливим є те, що дані файли знаходилися у публічному доступі кілька місяців перш ніж стало відомо про їх вміст. Не дивлячись на те, що строк дії ключів закінчився у вересні, будь-який код підписаний ними до цього моменту буде мати легітимний цифровий підпис.

Аналітика: Ми знову бачимо приклад недбалості розробників. Сертифікати відіграють значну роль в механізмах безпеки. Такі інциденти підривають довіру до сертифікатів, адже отримати можливість підписати троян дійсним цифровим підписом – це справжній подарунок для зловмисника. Варто згадати деталі атаки на корпорацію Sony – частина коду, який використовували зловмисники був підписаний викраденими ключами самої корпорації. Розробникам варто дбати про безпеку ключів та перевіряти автоматизацію процесів.

#10 – 21-го вересня компанія Zerodium, що спеціалізується на продажі 0day вразливостей, пообіцяла 1 мільйон $ за експлойт під iOS 9. Цікаво, що крім купи кількості грошей ця так звана bug bounty program має обмеження по часу – заявки прийматимуться лише до 31-го жовтня, а сам код мусить відповідати переліку жорстких вимог: можливість віддаленої інсталяції, різні вектори атаки, процес активації не повинен залежати від користувача і т. ін.

Аналітика: На мою думку, це одна із найголовніших новин місяця. І справа тут не у кількості $. Зараз спробую пояснити:

I. Сам факт такого змагання підкреслює наскільки цінними є експлойти, що дозволяють компрометувати мобільні пристрої. Не секрет, що пристрої Apple перш за все сприймаються суспільством як гаджет, що підкреслює статус свого володаря, а вже потім розглядаються як засіб спілкування. Багато ТОП-менеджерів та керівників різних компаній надають перевагу iPhone та iPad, а це значить що пристрої таких користувачів є ідеальною точкою входу для зловмисників + на цих пристроях можна знайти цінну інформацію.

II. Не дивлячись на гучні інциденти довкола захищеності пристроїв Apple: проблеми з авторизацією, витік даних знаменитостей через iCloud, активну еволюцію вірусів (WireLurker, KeyRaider, XcodeGhost) варто відзначити той факт, що архітектура iOS з точки зору безпеки спроектована краще за Android. Тому не дивно, що компрометація iOS є своєрідним викликом (challenge) для дослідників та гравців, що перебувають на темному боці. Сам факт причетності до хаку актуальної версії прошивки стане своєрідною візитною карткою, авторитетом для того, хто спроможний надати робочий експлойт.

ІІІ. Я бачу цю ситуацію трохи інакше. Експлойт це плід тривалої праці. Ескплойт під останню версію захищеної платформи – це своєрідний артефакт. Той факт, що Zerodium висунула обмеження по часу і пропонує таку велику винагороду наштовхує на думку, що ціллю цього конкурсу може бути не сам експлойт:

  • Zerodium отримає контакти талановитих дослідників, які надсилатимуть свої роботи = база потенційних майбутніх найманих консультантів;
  • швидше за все, призовий фонд не буде виплачено у повному обсязі, адже ймовірність існування експлойту, який би задовольняв усі вимоги та був готовий до завершення конкурсу досить низька (хоча я можу помилятися);
  • Zerodium отримає зразки коду, який може передати власним дослідникам, або тим, чиї роботи були найкращими для подальшої доробки. Так чи інакше компанія буде у виграші;
  • обмеження по часу могло бути введене спеціально для того, щоби жоден з учасників не міг дістатися цілі, або ж у компанії є конкретне замовлення з чіткими строками – тоді вартість замовлення явно вище тої винагороди, яка пропонується..

#11 – 21-го вересня стало відомо, що співробітники Symantec, які помилково випустили pre-certificate для доменів google.com були звільнені. Сертифікати начебто були випущені для внутрішнього тестування. Не важко зрозуміти, що існування таких сертифікатів знову ж таки підриває довіру до самої системи сертифікатів, адже працівники CA або зловмисники могли скористатися ними для здійснення так званих man-in-the-middle атак адже вони були легітимними для бравзерів. Сертифікати було відстежено співробітниками компанії Google в рамках їх проекту Certificate Transparency.

Аналітика: Кожен мусить зробити свої висновки з даної історії. Звісно, жодна з компанії не готова відмовитися від застосування сертифікатів або заміни. Добре, що Google запровадив програму відстеження, а якби її не було? Як довго б ці сертифікати були валідними? Користувачам варто слідкувати за оновленням бравзерів (FF, Chrome) та ОС (IE) щоби мінімізувати ризики та актуалізувати списки відкликаних сертифікатів (а вони будуть з’являтися неодмінно). Якщо говорити про сертифікати які було викрадено або помилково випущено – наявні механізми перевірки сертифікатів (які вбудовані в бравзер або ж в пристрої мережевого захисту) безсильні, адже з точи зору перевірки – сертифікат виглядає дійсним.

#12 – 22-го вересня Tavis Ormandy, член команди Project Zero (Google) опублікував інформацію про вразливості у антивірусі Kaspersky. За словами дослідника джерелом вразливостей є неправильна імплементація технологій розпаковки та емуляції коду, які до того ж виконуються від імені SYSTEM. Частково, знайдені вразливості були закриті оновленнями продуктів. Цікаво, чому цього не було зроблено раніше.

Аналітика: Наявність архітектурних недоліків у 15-й та 16-й версіях антивірусу, які дозволяють виконання довільного коду від імені системи не дозволяють говорити про можливість застосування даних засобів ні в корпоративному ні в користувацькому середовищі. Якість самого коду та його контроль не відповідають тому рівню, який заявляє про себе компанія.

#13 – 23-го вересня стало відомо, що в результаті атаки на Федеральне управління персоналом США зловмисники отримали доступ до ~21,5 мільйонів форм із відбитками пальців співробітників та підрядників федеральних установ. Раніше повідомлялося про значно нижчі цифри. Факт витоку даних підтверджено самою організацією. Така велетенська кількість відбитків співробітників з різним рівнем доступу викликає занепокоєння, адже варто пригадати, що більшість звичайних біометричних систем можуть бути обійдені за допомогою фотографії відбитка (дослідження 2014-го року).

Аналітика: На жаль, скомпрометований пароль змінити можна, чого не скажеш про відбитки. Така велетенська база відбитків держслужбовців становить потенційну загрозу інформації, до якої вони мали доступ. Фактично це ставить організації перед вибором – або витрачати додаткові кошти на модернізацію сканерів відбитків (щоб їх було не так просто обдурити), або змінювати протоколи доступу і переходити із скану відбитків на скан долоні/рогівки ока/обличчя.

#14 – 24-го вересня з блогу французького дослідника Kafeine стало відомо про новий зразок банківського трояну Shifu. Розгляд механізму роботи цього вірусу було опубліковано в блозі McAfee Labs. Даний троян відрізняється тим, що поєднує у собі механізми різних представників кібер-загроз, а саме:

  • код вірусу написаний з використанням обфускації та технік, що перешкоджають аналізу (ймовірно запозичено у Zeus);
  • при активації троян видаляє System Restore (можливі паралелі з CTB-Locker або ж більш древнім Conficker);
  • код націлений на пошук та передачу на C&C сертифікатів, токенів, паролів;
  • обмін даними з керуючими серверами відбувається через локальний Apache сервер, що не типово для цього класу загроз;
  • аналіз розшифрованих коментарів в коді вказує на російський слід (який так само може виявитися підробкою).

Базова комплектація трояну включає в себе наступні модулі: кейлогер, модуль перехоплення знімків екрану та сертифікатів, інструмент віддаленого керування.

Аналітика: Віруси продовжують еволюціонувати. Каталізатором цього процесу з одного боку є підвищення здібностей розробників такого коду, а з іншого – більший відсоток прибутку, який автор може отримати. Фінансовим установам, та й усім іншим варто запроваджувати системи  аналізу поведінки, засоби контролю запуску додатків і слідкувати за привілеями користувачів. Складність та модульність сучасних вірусів зайвий раз підкреслює очевидний факт – одним антивірусом не прикриєшся.

#15 – 24-вересня стало відомо про те, що в образах ОС Windows, які йшли в комплекті з ноутбуками Lenovo було знайдено програмний засіб, який збирав та надсилав компанії дані про дії користувача. Не зважаючи на те, що така поведінка вкладається у рамки ліцензійної угоди (End User License Agreement) поведінка такого модуля може бути розцінена як прихований збір даних. Важливо зауважити, що цього разу мова йде про лінійку ноутбуків, що орієнтовані на корпоративний сегмент. Варто зазначити, що це вже не переший випадок з програмним забезпеченням яке постачається з системами Lenovo: на початку року стало відомо про т.з. SuperFish, а у серпні стало відомо про rootkit-техніки які дозволяли встановлювати ПЗ без дозволу користувачів.

Аналітика: Прикро, що один із основних постачальників техніки для бізнесу опускається до рівня шпигунства за користвачами. Якщо згадати фразу про користування чимось безкоштовно, то Lenovo дає зрозуміти – навіть якщо ви платите чималі гроші за техніку, це не є гарантією того, що ви не перестаєте бути товаром. Проблема не у самій компанії (зрештою я не здивуюся, якщо завтра виявиться що хтось із інших вендорів теж напів-потайки збирає дані). Проблема у тому, що це стає звичною практикою. Моя порада тим, хто переймається власною безпекою – купуючи техніку, затирайте диск і перевстановлюйте ОС з образа, якому довіряєте. І пам’ятайте старе правило – чим менше у системі мотлоху, призначення якого вам не відоме – тим вище рівень безпеки.

~ ~ ~ ~ ~

Висновки:

Ставки зростають. Змагання запроваджене Zerodium дає чітко зрозуміти, що шматок коду дійсно може вартувати великих грошей. Сума призового фонду вища за ті кошти, які більшість компаній витрачають на MDM системи. Неприємні начебто помилки у додатках Яндекса показують наскільки може бути небезпечним користування звичними додатками. Факт активізації ransomware на платформі Android та аналогічний функціонал у KeyRaider під iOS свідчить про те, що зловмисники шукають нових жертв для здирництва (і вони обов’язково їх знайдуть). Інциденти із сертифікатами/ключами зайвий раз є свідченням недосконалості механізмів сертифікації. Вразливості у мережевому обладнанні та рішеннях безпеки примушують задуматися про те, що безпека мусить бути не лише бізнесом за гроші, інакше зловмисники будуть на крок попереду (по ціні призового фонду так точно). Процес розкриття подробиць вразливостей мусить бути в рамках етики – дослідник повинен повідомляти розробників і давати їм час на усунення, а розробник у свою чергу мусить виплатити компенсацію, як винагороду + страховку від перепродажу. Судові позови та цензура не призведуть ні до чого хорошого. Трояни стають складнішими і розумнішими і це треба враховувати, головне не застосовувати діряві механізми емуляції та розпаковки інакше антивірусний скан стане точкою входу, а не бар’єром на шляху інфекції.

Наразі у мене все.

Будьте пильними та обережними при використанні високих технологій.

#fsociety_110815

Формат контенту навіяний частково Crypto-Gram`ом Брюса Шнайера та аналітикою Діда Свирида

Надалі випуски будуть з’являтися не рідше раз на місяць.

 

Дайджест новин з інформаційної безпеки за липень-серпень.

Почнемо з поточних подій:

#1 “Місія нездійснена – дочекатися релізу Kali linux 2.0” – на сьогодні запланований вихід нової версії улюбленого набору інструментів усіх pentest`ерів та спеціалістів ІБ. Автори проекту наразі не розкривають повного переліку змін, проте відомо про такі моменти:

  • оновлення ядра та інструментарію раз на тиждень
  • native підтримка Ruby 2.0 для прискореної роботи Metasploit
  • перероблений GUI
  • вбудовані засоби створення скрінкастів

Як стало відомо, на конференції Black Hat, що відбулася минулого тижня, було два воркшопи, присвячені роботі з Kali: створення спеціалізованих образів та робота із завантажувальним зашифрованим носієм.

#2 Black Hat – нарешті на офіційному каналі конференції почали з’являтися відеозаписи. Варто відзначити, що цього року теми доповідей переважно були побудовані довкола IoT (Internet of Things). Воно і не дивно, враховуючи кількість усіляких “розумних” пристроїв та вбудованих систем, які під’єднані до мережі Інтернет. А якщо пригадати останні події щодо успішних атак на бортові системи автомобілів (Range Rover, Jeep, Tesla) та вразливості знайдені в Android.. Але давайте розглядати інформацію по черзі. . На офіційному порталі конференції стали доступними матеріали доповідей. Раджу звернути увагу на слайди нижче перерахованих доповідей та дочекатися їх відеозаписів:

– Automated Human Vulnerability Scanning with AVA, Laura Bell

– Information Access and Information Sharing, Alejandro Mayorkas

– Remote Exploitation of an Unaltered Passenger Vehicle, Charlie Miller  &  Chris Valasek

– Stagefright: Scary Code in the Heart of Android, Joshua Drake

#3 На тому ж таки Black Hat працював кореспондент Tenable. Доки відеозаписи самих доповідей не з’явилися, ці короткі замальовки можна використовувати як джерело інформації про конференцію. Серед усіх балачок на камеру я особисто для себе відзначив інтерв’ю Ріка Говарда (CSO Palo Alto Networks) та Брюса Шнайера. Рік Говард відзначив, що безпека мереж напряму залежить від захищеності кінцевих точок. Така позиція CSO стає зрозумілою якщо пригадати, що Palo Alto докладають значних зусиль у розвиток механізмів контролю кінцевих точок, що інтегруються з їх мережевими рішеннями. Брюс Шнайер поділився роздумами щодо метрик безпеки, від яких дійсно варто відштовхуватися в процесі роботи спеціалістів кібербезпеки. Крім того, Брюс відзначив, що наразі він більше переймається ступенем захищеності мобільних пристроїв та різноманітних вбудованих систем, ніж повноцінних комп’ютерів.

#4 Більш розгорнуту думку Брюса про останні гучні події з царини ІБ можна отримати з відеозапису його інтерв’ю шоу Boom Bust. Зокрема, експерт торкнувся не лише теми недостатньої захищеності автомобільних бортових систем та мобільних пристроїв. На думку Брюса проблема полягає у відсутності механізмів захисту та культури безпечного застосування вбудованих систем загалом. Мова також зайшла і про випадок із крадіжкою особистих даних американських чиновників – справа про кібератаку на Федеральне управління персоналом США (OPM Breach). Витік персональних даних став можливим через недбале відношення до безпеки баз даних. Крім того, Брюс торкнувся теми глобального стеження за громадянами з боку уряду та проблеми довіри до компаній, котрі займаються обробкою та зберіганням персональних даних користувачів мережі Інтернет (Google, Facebook, Linkedin etc). Проблема полягає у тому, що люди, які користуються соц. мережами та хмарними сервісами, як правило не звертають уваги на ризики можливого розголошення чи використання тієї інформації, яку вони добровільно та несвідомо вивантажують в мережу. Більшість навіть обтяжують себе ознайомленням із умовами наданням тієї чи іншої послуги. Що у підсумку приводить нас до необхідності застосування шифрування та дотримання елементарної інформаційної гігієни – як на рівні бізнес організацій так і на рівні окремого користувача. Гучні справи з витоком даних Sony та Hacking Team зайвий раз підкреслюють вищесказане.

#5 Windows 10, 29-го липня відбувся реліз нової версії ОС від Microsoft. Доки навколо 10-ки ідуть запеклі дискусії, а звичайні користувачі вирішують для себе дилему “встановлювати чи ні”, з точки зору інформаційної безпеки варто звернути увагу на такі речі:

#6 Вразливості платформи Android, зокрема в механізмі Stagefright (відповідає за обробку мультимедіа) можуть призвести до виконання довільного коду без додаткових дій з боку власника пристрою. Варто відзначити, що проблемі Stagefright була присвячена окрема доповідь на Black Hat. Небезпека ситуації полягає у тому, що більшість виробників мобільних пристроїв (смартфонів/планшетів), як правило піклуються про оновлення лише поточного модельного ряду. У підсумку ми отримуємо велетенську кількість різноманітних мобільних пристроїв на застарілих версіях Android, які з технічних причин не можуть бути оновлені. Заява Google про перехід на регулярний випуск security оновлень погоди не робить, тому що оновлення стосуються лише пристроїв Nexus. Samsung пообіцяв забезпечити наявність оновлень для своїх пристроїв, правда строки та перелік моделей доки відсутні. На жаль, 80% старих моделей пристроїв ризикують залишитися без оновлень, що варто враховувати як спеціалістам ІБ (поштовх до впровадження MDM/MDP систем) так і кінцевим користувачам (застосування захисного ПЗ та workaround`ів типу вимикання автоматичної обробки MMS.

#7 Справа про хак Jeep, або вразливість розважальної системи Uconnect, яка коштувала Fiat Chrysler грошей та репутації. Дослідники кібербезпеки бортових систем сучасних автівок, Charlie Miller та Chris Valasek продемонстрували журналісту видання The Wired PoC віддаленої атаки. Фактично, мова йшла про можливість керування не лише музичною системою авто та кондиціонером, а про контроль трансмісії, гальм та двигуна. Як виявилося, чомусь, розважальна система не була ізольована від електронних блоків, які відповідають за керування автомобілем, тож Чарлі Мілеру та Крісу Валасеку (чекайте на появу запису їх доповіді з конференції Black Hat) вдалося не лише відстежувати автомобілі але й керувати ними на відстані. Компанія Fiat Chrysler була вимушена випустити патч прошивки бортових систем, відізвати 1,4 міліони автівок та вимкнути мережу до якої підключалися Uconnect-системи. На мою скромну думку автоконцерни мусять вчитися на чужих помилках, а не чекати доки вразливості будуть знайдені (Tesla) у їх продукції. Ця історія в черговий раз підкреслює низький рівень захищеності вбудованих систем, що може становити реальну загрозу людським життям вже зараз.

#8 Витік даних Hacking Team. На цю тему написано вже багато. Я не буду сильно повторюватися. Скажу лише кілька думок. По-перше, експлойти, які стали доступними широкому загалу ІТ/ІБ спеціалістів, що знаходяться “по обидві сторони світла” зайвий раз демонструє актуальність оновлення додатків (особливо тих, що мають відношення до обміну інформації в Інтернет) в цілому, та заборони застосування Adobe Flash там, де його використання не обґрунтоване потребами бізнесу. Відповідальний інженер/спеціаліст ІБ маючи інформацію про експлойти Hacking Team повинен пересвідчитися, що системи, за контроль яких він відповідає оновлені і не вразливі. По-друге, відсутність шифрування листування всередині Hacking Team ілюструє недбале ставлення до ІБ в такій здавалося б “хакерській” організації. Це вже стало причиною для жартів, але тим не менше, перш ніж насміхатися над хакнутими хакерами, варто подивитися на себе – як багато українських комерційних установ (я вже не кажу про державні) застосовують шифрування для захисту важливих документів/листування? По-третє, Galileo (RAT) – основний продукт Hacking Team. На прикладі доступної тепер документації варто чітко усвідомлювати можливі вектори проникнення такого роду засобів стеження та їх технічні можливості на різних платформах. Те, що цими інструментами переважно користувалися уряди певних країн та спец. служби ще не означає, що через певний час їх не візьмуть на озброєння комерційні структури. Hacking Team – лише одна із багатьох фірм, які надають послуги такого виду. Вочевидь нам просто варто адаптуватися до того, що продаж експлойтів та систем стеження такий же вид бізнесу як і побудова систем захисту. Кожен сам вирішує на чиєму він боці.

#9 Тим, хто використовує Metasploit у свої професійній діяльності варто звернути увагу на зміни в функціоналі, зокрема відмову від застосування Msfcli, натомість автори рекомендують застосовувати скрипти. Крім того, корисним буде застосування фреймворку для автоматичного тестування браузерів (Browser Autopwn v2) #1 #2 #3 . Зважаючи на збільшення ваги вразливостей Adobe Flash, не зайвим буде розуміння бібліотеки flash_exploiter

# 10 Дослідники з компанії Trend Micro проаналізували зміни, які відбулися із представниками Ransomware з початку року. Нагадаю, що мова йде про специфічний вид кіберзагроз, які шифрують дані користувача і вимагають гроші за розшифровку. А спеціалісти Intel Security (McAfee) присвятили CTB Locker`у кілька відео які розкривають принципи його роботи і допомагають краще зрозуміти як протидіяти . Спираючись на дані аналізу, можна стверджувати, що автори Ransomware та володарі C&C серверів підіймають ставки – жертві дають, як правило 48/96 годин на роздуми і як тільки цей час спливає, сума викупу збільшується вдвічі. Можна зробити висновок, що зловмисники відчули власну силу від успіху кампанії по шифруванню користувацьких даних, адже багато компаній, навіть солідного рівня часто нехтують правилами захисту та процедурами резервного копіювання. Те, що ми спостерігали на початку року повторюється – знаходяться люди, котрі вимушені сплачувати викуп через те, що важлива інформація (зашифровані файли) були в єдиному екземплярі. Така поведінка жертв спонукає зловмисників підіймати ціну. Оплата як правило проводиться Bitcoin валютою, а самі C&C сервери функціонують у TOR/i2p мережах, що ускладнює їх блокування. Крім того, спеціалісти відзначають значну соціалізацію шахраїв – деякі види ransomware мають власну технічну підтримку, до якої жертва може звернутися у випадку виникнення складнощів з оплатою – зловмисники зацікавлені щоб люди віддавали свої гроші їм. Що стосується рекомендацій, то з часів мого аналізу CTB Locker вони майже не змінилися: корпоративному сектору варто посилити контроль Web та Email каналів + навести лад з резервним копіюванням та захистом кінцевих точок, а що стосується домашніх користувачів – будьте пильними, не відкривайте/не запускайте приєднання від незнайомих вам людей, не сидіть під адмін. обліковкою та робіть регулярні резервні копії.

– – – – – – – – –

На сьогодні у мене все.

Будьте пильними і обережними при використанні високих технологій.