​аналог «Оскара» по кибербезопасности подвёл итоги 2020 года

В общей сложности на премии Pwnie Awards 2020 было 9 номинаций, включая такие, как «Лучшая ошибка в клиентском ПО» и «Самое большое достижение». Главным же провалом в уходящем году была названа уязвимость от Microsoft. Она позволяла создавать поддельные TLS-сертификаты и фиктивные цифровые подписи, верифицируемые в Windows как заслуживающие доверия.

Источнки: Pwnies Awards

Это просто интересно. Тем более, что я про это уже писал

Было бы наверное странно обойти стороной, пожалуй, главное событие пары последних недель в мире киберпреступлений. Я имею в виду успешную атаку на компанию FireEye.

Шутка ли – самая громкая жертва этой недели сама является поставщиком сервиса по защите информации. Начинали FireEye в далёком 2004-ом году, как сервис-песочница, который позволял исследовать входящий трафик на предмет идентификаторов компрометации (хэшей вредоносных файлов, ссылок на опасные ресурсы, адресов злоумышленников и т.д.). За пятнадцать лет компания обросла массой продуктов и услуг в области защиты информации, успела принять участие в расследованиях государственного уровня в США и дружественных им государств. Иными словами, компания очень уютно устроилась под палящим солнцем Калифорнии.

Однако, ничто не вечно под луной. И вот, на этой неделе компания FireEye опубликовала объявление об атаке, проведённой против неё.

Как сообщили сами представители компании, хакеры были очень здорово подготовлены и смогли применить некие неизвестные ранее механизмы атаки. Это довольно забавно слышать от специалистов, которые позиционируют себя, как гуру в выявлении уязвимостей нулевого дня. Хотя, с другой стороны, такая оценка со стороны FireEye делает честь этим неизвестным взломщикам. Естественно, в отчёте заявлено, что в деле замешана страна с очень крутыми "наступательными" возможностями (я теряюсь в догадках, о ком это они).

По мнению экспертов, целью атаки была информация о государственных контрактах компании. Однако, здесь у хакеров случился облом, а потому, они просто утащили данные об авторских наработках компании в области редтиминга. Проще говоря, были украдены инструменты, с помощью которых FireEye тестируют системы защиты своих заказчиков на наличие уязвимостей. Такая информация является конфиденциальной собственностью компании и, по сути, составляет её интеллектуальный авторский капитал.

В общем, было украдено всё, что нажито непосильным трудом. Таким образом, высокотехнологичные механизмы взлома утекли в общий доступ. Поэтому FireEye поспешили опубликовать инструменты, позволяющие защититься от их собственных разработок.

Что же касается самого взлома, информация о нём пока доступна только в общих словах. Вот и легенда кибербезопасности Кевин Митник написал у себя в твиттере: "Интересно, что означает «неизведанная ранее техника»? Поделится ли FireEye подробностями в отношении взлома, чтобы мы все могли извлечь уроки из этого инцидента?"

Но пока что специалисты компании совместно с Microsoft и ФБР, у которых, судя по всему, знатно пригорело от возможного слива подробностей государственных контрактов FireEye, ковыряются в логах и пытаются восстановить цепь событий. А значит, у этой истории будет продолжение.

От себя добавлю, что несмотря на насмешливый тон статьи, я уверен, что на месте FireEye могла оказаться любая ИБ-компания. Ведь каким бы крутым специалистом ты ни был, всего на свете учесть нельзя, хотя и надо к этому стремиться.

Кстати, пока я сочинял этот пост, уязвимость все-таки нашли.

Я давненько обдумывал сегодняшнюю статью. Но наткнулся на очень хороший материал и решил немножко о нём поговорить.

Итак, мы все привыкли пользоваться поисковыми системами в сети, чтобы искать информационные ресурсы и файлы. Но есть поисковики другого плана. Ярким представителем поисковиков такого рода является Shodan.

Названный в честь злого искусственного интеллекта из мира компьютерных игр, Shodan сам по себе не является однозначным злом. Однако, специфика его работы, конечно, весьма впечатляюща. Дело в том, что Shodan осуществляет поиск по устройствам, поключённым к сети Интернет. Роботы-агенты Shodan находятся в постоянном поиске новых устройств. Обнаружив железку, агент начинает "простукивать" порты на ней и определяет, где открыто, а где закрыто.

Пользователь Shodan может искать устройства по многим параметрам, чему как раз и посвящена найденная мною статья. По результату поиска можно либо выяснить, какие уязвимости не закрыты в твоей инфраструктуре, либо найти дырки в системе жертвы.

Надо ли говорить, что частыми клиентами Shodan становятся устройства умного дома, ведь все они подключены к сети Интернет.

В то же время, пользоваться поисковиком нужно осторожно. Матёрые злоумышленники специально оставляют "двери открытыми", чтобы заманивать к себе незадачливых взломщиков. Мы ведь знаем примеры, когда хакеры атакуют хакеров.

Кстати, у Shodan есть более молодой и опасный преемник – Censys. Этот поисковик умеет находить устройства, открытые для заданной сетевой атаки.

Но и Shodan, и Censys создавались, как инструменты защиты, которые позволяют выявить уязвимости и исправить их. Всё, как всегда, упирается в вопрос – кто в данный момент времени берёт в руки удобный инструмент, защитник или взломщик?

Про это пошутили уже все, невозможно молчать, конечно

​в Git-репозитории Nissan использовали дефолтные логин и пароль — «admin/admin»

Этот забавный на первый взгляд прокол привёл к тому, что в сеть попали исходники множества проектов компании. В том числе и различных диагностических утилит, серверных бэкендов и т.д:

https://tprg.ru/7m93

Пока добрая часть русскоязычного интернета пребывала в майонезной коме, злая следила за началом второго сезона 2020 года. 21 стартанул задорно.

Чтобы не укачало, будем вникать потихоньку. Приступим с легкого чтива. Вот это статья моих коллег про блокировку соцсетей в мире. Так сказать, вспомним, что было в предыдущих сериях.

Помнишь, я рассказывал про чудесный девайс, который скрывает в себе члены и уязвимости. Да-да, неделя каламбуров объявляется открытой. Короче, понеслось.

Теперь фраза "смотри, куда суешь" заиграла новыми красками.

Тут на днях произошло прекрасное. Как известно, информационная безопасность никогда не потеряет свою актуальность, поскольку злоумышленники постоянно находят новые способы обхода систем защиты. Чтобы предсказать действия недоброжелателей, придуманы экспертная оценка и пентест. Но защитник информации эффективен только тогда, когда он может мыслить, как его противник.

Но что если «взломом» занимается ребёнок?

Так и вышло несколько дней назад, когда пользователь Linux Mint и по совместительству отец двух малышей, отошёл от своего компьютера, заблокировав экран.

Папашка был абсолютно уверен, что запароленный экран не даст детишкам войти в систему и натворить дел. Каково же было его удивление, когда он увидел, что дети преспокойно «подобрали пароль».

В ходе учинённых разбирательств стало понятно, что никаким брутфорсом детишки не занимались. Они просто произвольно стучали по клавишам физической клавиатуры и, при появлении, по клавишам клавиатуры виртуальной.

Более того, новоявленные пентестеры смогли повторить свои действия и продемонстрировать механизм обхода системы защиты.

Оказалось, что Linux Mint некорректно распознаёт символ «ē» (я, кстати, тоже понятия не имею, что он означает) и при его нажатии в виртуальной клавиатуре присходит сбой процесса рабочего стола Cinnamon. Аналогично символ действует и на экран заставки, который в результате сбоя закрывается, открывая рабочий стол.

Разработчики дистрибутива Linux Mint уже закрыли уязвимость, но согласись, что история даёт богатую пищу для размышления!

Может быть, стоит ввести отдельный, но обязательный вид экспертизы систем защиты информации и назвать его «детский пентест»?

Сегодня я хочу поговорить с тобой об атаках на... хакеров.

Дело в том, что на днях был сокрушительно атакован не раз упоминаемый нами ботнет Emotet. Для атаки были объединены силы органов защиты правопорядка аж восьми государств - Германии, Франции, Голландии, США, Канады, Великобритании, Литвы и Украины.

Emotet и раньше подвергался атакам, но гифки с котиками и рядом не валялись с тем, что обрушилось на ботнет в этот раз.

Но давай по порядку. Сила и одновременно слабость любого мощного ботнета заключается в его распределённой инфраструктуре. Например, Emotet включает в себя три типа управляющих серверов. Одни — непосредственно отвечают за управление ботами. Вторые — предоставляются в аренду заказчикам и рулят выделенными сегментами сети. Третьи — сидят на скамейке запасных и включаются в случае повреждения первых или вторых.

Именно поэтому нанести значимый урон такой сети довольно сложно. Но возможно.

Объединёнными усилиями службы правопорядка восьми (!) стран сумели подменить ряд управляющих серверов ботнета, по сути, проведя атаку sinkhole (водосточный колодец). При этой атаке взломанные управляющие серверы переходят на светлую сторону, оставаясь доверенными для самих ботов. Взломанные серверы перестают отдавать команды своему сегменту ботнета и, по факту, вырубают его.

Вместе с этим, через управляющие сервера ботам был отправлен пейлоад, который принудительно вырубит их 25 марта. Предположу, что такая отсрочка связана с расследованиями, которые теперь начались по всему миру, поскольку в ходе атаки с серверов был извлечён порядочный объём информации, переданный в CERT`ы по всему миру.

Есть мнение, что на данный момент все управляющие серверы Emotet выведены из строя. То есть, в теории, суперкрутой ботнет, кошмаривший, в частности российский сегмент сети Интернет, побеждён.

Но не будем забывать, что Emotet — это слишком серьёзный "игрок" на чёрном рынке и нет никакой гарантии, что его владельцы смирятся с таким состоянием дел. В конце концов, ботнеты уже возвращались к жизни после успешных атак.

Подводя итог, замечу, что намечается крайне позитивная тенденция, когда "белые" хакеры не просто защищают отдельные объекты, но и переходят в масштабные, довольно позитивные, наступления.

Тут говорят, что в январе наш любимый Телеграм стал самым скачиваемым неигровым приложением, обойдя Тик-Ток и всю линейку социальных сетей и мессенджеров от Facebook, включая WhatsApp.

Вот про последний и хотелось бы немного поговорить. Ранее сообщалось, что один из самых популярных мессенджеров изменит правила обработки данных пользователей и, по всем законам демократии, у каждого юзера будет возможность согласиться на изменения или... удалить свой аккаунт. При этом, подробной информации о грядущих изменениях предоставлено не было. Из всей конкретики была озвучена только дата, с которой все несогласные пользователи будут удалены. Окончательное вступление в силу новых правил было намечено на восьмое февраля.

Однако, под давлением недовольной общественности, ребята из WhatsApp начали прогибаться и пошли на уступки. Во-первых, они опубликовали разъяснение на тему грядущих изменений. Дескать, ничего страшного не случится, мы просто свяжем воедино систему коммуникаций с бизнес-аккаунтами во всех трёх приложениях: WhatsApp, Facebook и Instagram. Делается это, конечно же, исключительно для удобства общения пользователей с интернет-магазинами. Ну и немножко для сбора контекстной информации о твоих предпочтениях. И совсем чуть-чуть, чтобы мы сами могли на этом подзаработать. Но это уже мои домыслы.

Во-вторых, на главной страничке блога зелёного мессенджера сейчас красуется объявление о том, что 8 февраля уже не является крайней датой принятия решения пользователями. Теперь, в качестве дня, когда многие пользователи массово покинут WhatsApp, названа дата 15 мая.

Что я имею сказать по этому поводу? На самом деле, WhatsApp далеко не первый мессенджер, который под видом выбора ни какого выбора пользователям не оставляет. В подобное "Сдохни или умри" когда-то уже игрался Твиттер, да наша отечественная социальная сеть Вконтакте, в своё время, не просто так породила мем "Дуров, верни стену!". Но разница между "тогда" и "сейчас" всё-таки очень большая. У WhatsApp`а слишком много альтернатив. Взять, к примеру, тот же Телеграм, в который теперь можно импортировать чаты и группы из других мессенджеров вместе с историей переписки. Вот уж, воистину, мастера ситуативки.

Перенести историю сообщений из WhatsApp в Телегу очень просто. В меню каждого диалога или чата WhatsApp есть кнопка "Экспорт чата". После её нажатия мессенджер спросит, в какое приложение перенести историю переписки. Среди вариантов будет и Телеграм.

К слову, я не призываю тебя в обязательном порядке мигрировать из WhatsApp. Ребята утверждают, что у них всё в порядке со сквозным шифрованием и что история переписки хранится исключительно на стороне клиентского приложения, а не на сервере. Но так оно или нет — остаётся вопросом веры.

В последнее время встречается очень много забавных новостей о том, как хакеры ломают хакеров.

Вообще, мне кажется, что мир инфобеза настолько развился, что в его "фауне" уже может происходить вообще, что угодно. Но смотреть на этот захватывающий виртуальный мир я могу только глазами Николая Николаевича Дроздова.

Перед нами давно известный механизм кражи средств с банковских карт — железка, которую злоумышленники прикрепляют к банкоматам. Вы только посмотрите, как эта железка мимикрирует под разъём для карточки и считывает данные пользователей, вставляющих в банкомат свои карты. Такой зверь называется скиммером.

Со временем, скиммеры эволюционировали и перешли в интернет. И теперь они селятся на сайтах разных онлайн-магазинов и выдают себя за область ввода данных с банковских карт. Такие веб-скиммеры называются MageCart в честь своих праотцов — первой применившей их группировки.

Но недавно, специалистами Malwarebytes был обнаружен новый вид этих паразитов, которые заводятся на ресурсах, уже поражённых MageCart.

Эти новые зверьки незаметно подселяются к старшему сородичу и воруют уже у него данные, которые тот прежде украл у пользователей. В случае, если MageCart обнаруживается и удаляется, новый веб-скиммер запускает собственную версию банковского терминала на заражённом ресурсе и продолжает своё тёмное дело.

Получается, что как и в живой природе, мы имеем дело не только с паразитами, но и с паразитами, которые на этих паразитах наживаются!

Кстати, Николай Николаевич завел Инстаграм и ТикТок. Возможно, этот мир еще можно спасти.

Гарри Поттер с точки зрения криптографии

Воскресный вечер с нынешней погодкой так и шепчет: сиди дома и читай телеграм. Поэтому сегодня будет рубрика "хозяйке на заметку" с легким налетом поп-фентези. Только окунитесь в эту атмосферу вечерней газеты в конце недели. Колонка редактора просто.

Я тут наткнулся 

на весьма годую статейку

 о разделении секрета. Самого настоящего секрета!

Как и в любой статье о паролях (ключах), первым делом здесь перечисляются основные требования к секретным последовательностям: 16 символов, случайность, двухфакторка. В общем, всё как надо. И уже эти вещи полезно освежить в памяти, так как практика говорит о наплевательском отношении пользователей к элементарным требованиям.

Несмотря на традиционное предложение использовать менеджеры паролей, авторы честно признают опасность такого рещения. А ну как сам менеджер будет скомпрометирован? И вот тут как раз начинается интересное.

Есть такое направление в криптографической науке, когда для тех или иных задач ключ разделяется на несколько частей. Вообще говоря, на сленге каждая такая часть называется "тенью". Ну или, если адаптировать под современную аудиторию, крестражами. По-моему, это не термин, а просто-таки находка.

Для чего же нужны крестражи?  Авторы советуют разделять пароль на две части. Одну часть пихать в менеджер паролей, а другую держать в уме. Тогда взломщик, получивший доступ к твоему хранилищу секретов, не сможет воспользоваться ими до тех пор, пока не сумеет каким-то способом выведать у тебя вторую часть.

Но здесь я бы хотел немного добавить от себя и испортить авторскую аналогию. Дело в том, что механизм разделения секрета гораздо более гибок, чем может показаться. Во-первых, ты можешь делить пароль не на две, а на сколько угодно частей, усложняя работу мошенникам. Крестражей, как ты помнишь, было семь. Во-вторых, существуют пороговые схемы разделения секрета, которые подразумевают возможность потери отдельных частей. В таком случае, тебе самому не придётся восстанавливать все кусочки, а хватит только нескольких из них. Например, в случае с Воландемортом, порог разделения равен единице, так как злому волшебнику для поддержания жизни нужен был хотя бы один крестраж из семи. 

С другой стороны, Гарри Поттеру потребовалось уничтожить каждый из них, чтобы добиться уязвимости Того-кого-нельзя-называть. Следовательно, крестражи - это скорее бэкапы, а никакие не тени, ведь в противном случае, Гарри Поттеру должно было хватить одного крестража для восстановления и последующего уничтожения остальных.

Хочу также добавить, что разделение секрета удобно использовать для передачи конфиденциальной информации. Секрет делится на несколько частей и засылается разными каналами получателю. При таком раскладе, задача злоумышленника усложняется в несколько раз. Теперь ему нужно не только прослушивать канал связи, но и вычислять, каким образом передаётся каждая часть секрета. И даже если в отчаянии, он вычислит и разрушит, допустим, три канала из семи, пороговая схема, рассчитанная на четыре части, позволит полностью восстановить секрет на стороне получателя.

Времена и контексты меняются, а суть вещей — никогда.

Да, впереди полторы минуты философского чтения на тему ИБ.

На днях у компании CD Projekt Red вымогатели угнали исходники Cyberpunk 2077, третьего Ведьмака и других игр, попутно прихватив всю внутреннюю документацию, относящуюся к коммерческой тайне. Часть информации компании подверглась атаки шифровальщиком.

Первая мудрость про сайберпанк — не жили хорошо, не чего и начинать.

Но, получается, у CD Projekt Red пытались не просто скопировать их разработки, а целились в полное лишение компании её интеллектуальной собственности, чтобы затребовать выкуп.

Однако, резервные копии игр и персональные данные пользователей не пострадали. Поэтому злоумышленники останутся без выкупа, но с исходниками известных игр на руках. Но, спрашивается, что они с ними смогут сделать? Пофиксить баги и выпустить нормальный релиз уже от своего имени?

Эта история напомнила мне, как много лет назад у студии 20th Century Fox утекли полностью отснятые, но не обработанные спецэффектами вторые Люди Икс. Таким образом, задолго до выхода фильма, он стал доступен на пиратских носителях. Правда из-за отсутствия обработки, было видно, как персонажи летают на лесках, дерутся на фоне зелёного экрана и, в общем, больше похожи на психически больных, чем на супергероев. Помешала ли такая утечка фильму? Никак! Вторые Люди Икс собрал 407 миллионов долларов против 110, вложенных в него.


И еще из воспоминаний. Создатели сериала "Игра престолов" боролись с утечкой информации со съёмочной площадки. В ход шло всё: от фейковых сценариев с множественными концовками, которые выдавались актёрам, до невероятных размеров штаба по защите информации. Несмотря на это, спойлеры регулярно появлялись в сети. Другое дело, что создатели культового сериала умудрились так испортить концовку, что никто просто не поверил, когда сценарий последних серий стал общедоступен.

Но в дни пандемии рынок компьютерных игр вырос вместе с рынком телесериалов, оставив далеко позади индустрию полнометражного кино, в котором, кажется, сейчас вообще ничего стоящего и не делают. По этой причине, цель злоумышленников изменилась, а методы остались ровно такими же, как и много лет назад. Но, как показывает история, удачные атаки не должны являться поводом для беспокойства создателей годного контента. Если сериал или игра действительно годные, свой гонорар они в любом случае получат.

Подробнее и не расскажешь

​​Перед наступающим Днем Красной Армии оперативная обстановка на фронтах идеологической борьбы за будущее мировой сети серьезно осложняется. В этот раз заход пошел со стороны авторитетного инфосек издания ZDNet.

На фоне двух новостей о последствиях атаки на SolarWinds, "связанной с хакерами, имеющими вероятно российское происхождение", журналисты решили поставить вопрос о необходимости усиления присутствия американского государства в киберпространстве.

Обо всем по порядку.

Во-первых, заместитель советника по национальной безопасности Президента США Энн Нойрберг заявила на брифинге, что в ходе атаки Sunburst на компанию SolarWinds были скомпрометированы девять правительственных американских агентств, включая Министерство внутренней безопасности и Госдеп, а также около 100 американских коммерческих компаний, существенная часть из которых является технологическими.

Во-вторых, Microsoft в отчете о последствиях взлома своей сети в рамках атаки Sunburst сообщили, что хакеры искали способы по дальнейшему расширению своего присутствия, а также выкачали из репозиториев исходные коды компонентов Azure, Intune и Exchange.

И параллельно с этим журналист Робин Харрис выпускает программную статью, в которой объясняет, со ссылкой на последствия и масштаб атаки на SolarWinds, что частные компании не в силах более обеспечить защиту от кибератак, а посему американское правительство просто обязано вмешаться в инфосек со всей своей дури.

Логика проста - по оценке Microsoft в подготовке Sunburst участвовало по крайней мере 1000 программистов (мы про это писали, тысячи русских хакеров, ага). Как полагают журналисты, ни одна коммерческая компания не в силах выделить такие ресурсы на проведение атаки, а значит за ней стоят государственные структуры. Да еще, "вероятно российского происхождения", хотя, напомним, за прошедшие почти 3 месяца с момента обнаружения атаки и обвинения в сторону русских хакеров не появилось ни одного весомого подтверждения в пользу этой версии. Но в современном инфосек это и не требуется, он теперь политизирован не хуже спорта и пр.

А поэтому противодействовать подобным атакам должна государственная структура, некая надсетевая полиция. Глобальная сила понятного происхождения.

Дальше проводятся аналогии с американской армией, с тем, какая она сильная и всю планету в страхе держит. По аналогии должны быть созданы и Вооруженные силы цифровой защиты США, которые будут всех нагибать.

А если их не создать, то все прогнутся перед Россией, которая срощена с киберпреступным сообществом.

Какой-то хтонический звиздец.

В погоне за техническими решениями, 0-day уязвимостями и хоть какой-то оригинальностью в череде шифровальщиков, которыми нас балуют иб-новости, мы как-то стали забывать про классику успешных компрометаций систем. А именно, засранцев на рабочем месте. Или внутреннем нарушителе.

О вечной проблеме напомнил Яндекс: один из трех местных сисадминов, занимавшийся обеспечением технической поддержки сервиса, просто сливал доступы к почтам клиентов. 4887 ящиков были скомпрометированы.

Всем пострадавшим уже были высланы уведомления о необходимости смены паролей от учеток. Ну а инцидент расследован. Яндекс пообещал даже пересмотреть сам процесс работы, чтобы минимизировать влияние человеческого фактора.

Но кто вернет веру в людей?

Сначала столкнулся лично, а потом прочитал, как это бывает. Короче, наткнулся на интересную статью, которая будет полезна многим, хотя бы просто для общей эрудиции.

Возможно, и ты заметил, что приложение Сбербанк Онлайн недавно перестало воспринимать действительные пароли от учётки. Саму ситуацию, вероятно, не следует считать чем-то опасным. В конце концов, когда ты последний раз менял пароль в банковском приложении?

Проблема возникает позднее, когда выясняется, что для установки нового пароля достаточно знать номер банковской карты и номер телефона, к которому она привязана. Ситуация довольно странная, так как номер карточки, в отличие от CVC, может вообще публиковаться пользователем для тех или иных нужд. А симку с номером телефона злоумышленнику может предоставить сотрудник салона сотовой связи, если его хорошо попросить.

И всё. Дальше злоумышленник получает доступ ко всем твоим счетам и возможность оформить кредит или воспользоваться кредитной картой, которые Сбербанк радостно раздаёт налево и направо.

И самое главное. Пока сам банк не займётся решением этой проблемы, нам остаётся только сохранять бдительность и следить за оповещениями о смене пароля в приложении. Да и то, это довольно ненадёжное решение, так как смски от Сбера могут доходить с большим опозданием или не доходить вообще, особенно, если ты отключил эту функцию.