Вот и пришло время повторить упражнение, которое я первый раз выполнил ровно год назад. Тогда я взял 10 самых популярных новостей с нашего сайта Threatpost и попытался выяснить — почему именно они, собственно, привлекли внимание общественности — и специалистов, и обычных пользователей. Такой метод имеет очевидные недостатки — на популярность статей много что влияет, и совершенно не обязательно, что самые популярные новости об инцидентах в кибермире являются одновременно и самыми важными. Но есть и достоинства: событий в сфере информационной безопасности происходит огромное количество, и каждый участник их обсуждения, в зависимости от специализации и личных интересов, выберет свои «самые-самые». А тут — если и не самый объективный, то хотя бы независимый инструмент оценки.
В этом году подборка самых посещаемых новостей удачно делится на пять основных категорий:
— Низкотехнологичные угрозы для пользователей
— «Уязвимости в неожиданных местах»: безопасность «интернета вещей», домашних и промышленных сетевых устройств,
— Проблемы шифрования данных
— Громкие уязвимости в ключевых платформах и «хайтек» киберугроз — примеры самых продвинутых атак
— Рутинные, но опасные уязвимости в распространенном софте
Вот по ним и пройдемся.
Пользовательские угрозы
Январский троян в Фейсбуке (10 место)
Новость.
110 тысяч пользователей Facebook заразились трояном, кликнув на ссылку в социальной сети! Да не может быть!
В то время как космические корабли киберармий бороздят цифровое пространство, в обычном мире обычных людей обычный троян, маскирующийся под апдейт Adobe Flash, устанавливает на компьютеры жертв обычный кейлоггер. Такие инциденты мы постоянно отслеживаем, но в топ они попадают редко: все же наша основная аудитория — специалисты, для которых подобные происшествия интереса не представляют. Тем не менее, то, что можно назвать «традиционными атаками» было, есть и еще долго будет основной головной болью и у пользователей, и в компаниях. Как бороться с ними — в общем-то понятно, технологии хорошо отработаны. Но атаки, подобные январской, успешно накрывают десятки тысяч пользователей, а значит над распространением технологий защиты еще нужно работать.
Атаки на «интернет вещей», домашние роутеры и промышленные сетевые устройства
Что может быть общего между беспроводным пультом управления гаражной дверью и сетевым софтом Cisco? Они одинаково плохо защищены. Даже не так: если термостаты, домашние веб-камеры и маршрутизаторы защищены очень хорошо, успешная атака на них в любом случае является неожиданностью. Стратегия защиты и у компаний, и пользователей, обычно сосредоточена на компьютерах и других устройствах, с которыми они непосредственно взаимодействуют. Все остальное представляет собой некий черный ящик, который в лучшем случае работает незаметно и не привлекает внимания, в худшем — становится орудием для взлома, неотслеживаемым и обычно непонятно как работающим.
Больше всего наших читателей заинтересовали следующие примеры. Еще в декабре 2014 года исследователи Check Point Software нашли уязвимость, затрагивающую 12 миллионов домашних роутеров (Новость, 9 место). Получить доступ к веб-интерфейсу можно было путем отправки специально сформированного пакета данных. В июне в защитном ПО для мониторинга сетевого трафика Cisco были найдены дефолтные SSH-ключи (новость, 8 место), не первый и не последний случай «закладки» в сетевых устройствах и соответствующем софте. Тогда же, в июне, исследователь Сами Камкар исследовал очень слабую защиту в системах удаленного открытия гаражных дверей, популярных в США (новость, 7 место). Ключи к ним можно подобрать за полчаса брутфорсом, но целая серия программных просчетов позволила ему сократить время взлома до 10 секунд.
Добавим к этому уязвимости в компьютерных системах автомобилей. Этим летом, благодаря работе исследователей Чарли Миллера и Криса Валасека, концерн Fiat Chrysler выпустил первый в истории security-патч для автомобиля: уязвимость позволяла удаленно взламывать систему управления автомобилем через развлекательную систему и даже перехватывать управление. Действительно, если уязвимости есть в софте, в компьютерных устройствах, в гостиничных ключах и брелках для автомобилей, почему бы им не быть в автомобилях? Не могу не процитировать этот показательный твит:
Мой принтер чаще работает чем нет, WiFi глючит, но редко, Xbox обычно узнает меня, и даже Siri, бывает, работает нормально. Но моя машина с автономным управлением будет работать идеально!
Компьютеры, когда им поручено сделать что-то самостоятельно, обычно делают меньше ошибок и глупостей, чем люди. Вот только программируют их люди, и все чаще компьютерным системам на откуп отдаются весьма критичные процессы — от управления АЭС до стояния в пробке на Ленинградке. Добро пожаловать в дивный новый мир!
Шифрование
Сложная тема. Оценить эффективность того или иного метода шифрования данных возможно только в рамках серьезной научной деятельности, и то результат подчас либо не гарантируется, либо может измениться со временем. Показательный пример — алгоритм криптографического хеширования SHA-1, пять лет назад считавшийся достаточно надежным, но в 2015 году объявленный теоретически уязвимым. АНБ поставила под сомнение стойкость алгоритмов шифрования с применением эллиптических кривых, и уже задумывается (или делает вид, что задумывается, тут до конца не ясно) о шифровании, способным устоять даже перед квантовыми компьютерами.
Но этим тема шифрования не ограничивается. Крайне слабая криптография поставила под удар уже активно использующийся протокол Open Smart Grid (новость, 6 место). OSGP — это реализация «интернета вещей» для электросетей, попытка объединить счетчики и управляющие электричеством системы в единую сеть, а с электричеством лучше не шутить. Сложность темы приводит и к тому, что основным критерием к системе шифрования данных является доверие. Случившийся еще в середине 2014-го демарш разработчиков TrueCrypt подорвал доверие к этому популярному ПО для защиты информации, и в 2015 году мы увидели сразу несколько аудитов исходного кода программы, а также появление вызвавших большой интерес спин-оффов — VeraCrypt и CipherShed (новость, 4 место). Совсем недавно был раскрыт бэкдор в маршрутизаторах Juniper, и в этой истории тема шифрования также играет не последнюю роль.
Серьезные уязвимости и серьезные атаки
Если в прошлом году самыми резонансными прорехами в безопасности стали Shellshock и Heartbleed, то в этом внимание привлекли уязвимость Stagefright (новость, 5 место) в Android и уязвимость в функции определения IP-адреса, являющейся частью стандартной библиотеки GLIBC в Linux-системах (новость, 3 место).
Исследователь уязвимостей в Linux. Художественная интерпретация.
Любая уязвимость проходит через «теоретическую» и «практическую» стадии — в некоторых случаях все ограничивается исследовательским proof-of-concept, но иногда о новой дыре узнают пост-фактум, проанализировав уже активную атаку. В 2015 году к этим двум вариантам добавился третий: утечка данных из компании Hacking Team, специализирующейся на продаже эксплойтов госструктурам, выявила ранее неизвестную уязвимость в Adobe Flash, которая немедленно начала эксплуатироваться киберкриминалом.
Из реальных атак двумя наиболее заметными стали раскрытые исследователями «Лаборатории» операции Carbanak и The Equation. Если в первом случае наиболее впечатляла оценка ущерба (миллиард долларов), то во втором — совершенство инструментов атаки, включая возможность восстановления контроля над компьютером жертвы с помощью модифицированной прошивки жесткого диска, а также длительность операции: десятки лет! Подробнее о февральских исследованиях — в этом посте.
Рутинные уязвимости в распространенном ПО
Таких было обнаружено очень много. Лучше всего это заметно на примере патчей для Adobe Flash: 14, 24 и 28 января, март, июнь, июль, сентябрь, декабрь. С одной стороны это выглядит как плохие новости, с другой — латание дыр, как минимум у Adobe, ведется очень активно — уязвимости закрываются десятками за один апдейт. Нельзя сказать, что в целом софт стал безопаснее, но важной тенденцией этого года стало более серьезное отношение разработчиков софта к безопасности, и это не может не радовать.
Особым вниманием пользуется софт, установленный на максимальном количестве компьютеров, а на каждом ПК есть как минимум один браузер. Из разработчики вынуждены не только следить за самозащитой, но и, по возможности оберегать пользователей от угроз на других сайтах (зачастую принудительно ограничивая функциональность, как это произошло с тем же Flash в Chrome). С браузерами связаны две самых популярных новости на Threatpost за 2015 год. На прошедшем в марте хакатоне pwn2own были взломаны все основные браузеры — сначала Firefox и IE, а позднее — Chrome и Safari (новость, 2 место).
Довольные white hat хакеры на pwn2own
Наконец, самой популярной новостью года (вполне в стиле прошлогоднего дайджеста) стала блокировка древней системы расширений NPAPI в браузере Chrome (новость, 1 место). Апрельская блокировка NPAPI привела к неработоспособности огромного количества плагинов — от Java до Silverlight, и соответствующим проблемам у большого числа разработчиков. Отказ от legacy кода — еще одна важная тенденция последнего времени: в определенный момент такое наследие начинает приносить больше проблем, чем пользы.
Сомневаюсь, что в 2016 году проблем с безопасностью станет меньше, скорее наоборот. Уверен, что появятся и новые методы защиты от киберугроз. В любом случае, нам определенно будет что обсудить. В качестве дополнительного чтения по итогам этого года рекомендую общий обзор угроз от экспертов «Лаборатории», отдельный анализ киберугроз для бизнеса и предсказания на 2016 год.
В этом году подборка самых посещаемых новостей удачно делится на пять основных категорий:
— Низкотехнологичные угрозы для пользователей
— «Уязвимости в неожиданных местах»: безопасность «интернета вещей», домашних и промышленных сетевых устройств,
— Проблемы шифрования данных
— Громкие уязвимости в ключевых платформах и «хайтек» киберугроз — примеры самых продвинутых атак
— Рутинные, но опасные уязвимости в распространенном софте
Вот по ним и пройдемся.
Пользовательские угрозы
Январский троян в Фейсбуке (10 место)
Новость.
110 тысяч пользователей Facebook заразились трояном, кликнув на ссылку в социальной сети! Да не может быть!
В то время как космические корабли киберармий бороздят цифровое пространство, в обычном мире обычных людей обычный троян, маскирующийся под апдейт Adobe Flash, устанавливает на компьютеры жертв обычный кейлоггер. Такие инциденты мы постоянно отслеживаем, но в топ они попадают редко: все же наша основная аудитория — специалисты, для которых подобные происшествия интереса не представляют. Тем не менее, то, что можно назвать «традиционными атаками» было, есть и еще долго будет основной головной болью и у пользователей, и в компаниях. Как бороться с ними — в общем-то понятно, технологии хорошо отработаны. Но атаки, подобные январской, успешно накрывают десятки тысяч пользователей, а значит над распространением технологий защиты еще нужно работать.
Атаки на «интернет вещей», домашние роутеры и промышленные сетевые устройства
Что может быть общего между беспроводным пультом управления гаражной дверью и сетевым софтом Cisco? Они одинаково плохо защищены. Даже не так: если термостаты, домашние веб-камеры и маршрутизаторы защищены очень хорошо, успешная атака на них в любом случае является неожиданностью. Стратегия защиты и у компаний, и пользователей, обычно сосредоточена на компьютерах и других устройствах, с которыми они непосредственно взаимодействуют. Все остальное представляет собой некий черный ящик, который в лучшем случае работает незаметно и не привлекает внимания, в худшем — становится орудием для взлома, неотслеживаемым и обычно непонятно как работающим.
Больше всего наших читателей заинтересовали следующие примеры. Еще в декабре 2014 года исследователи Check Point Software нашли уязвимость, затрагивающую 12 миллионов домашних роутеров (Новость, 9 место). Получить доступ к веб-интерфейсу можно было путем отправки специально сформированного пакета данных. В июне в защитном ПО для мониторинга сетевого трафика Cisco были найдены дефолтные SSH-ключи (новость, 8 место), не первый и не последний случай «закладки» в сетевых устройствах и соответствующем софте. Тогда же, в июне, исследователь Сами Камкар исследовал очень слабую защиту в системах удаленного открытия гаражных дверей, популярных в США (новость, 7 место). Ключи к ним можно подобрать за полчаса брутфорсом, но целая серия программных просчетов позволила ему сократить время взлома до 10 секунд.
Добавим к этому уязвимости в компьютерных системах автомобилей. Этим летом, благодаря работе исследователей Чарли Миллера и Криса Валасека, концерн Fiat Chrysler выпустил первый в истории security-патч для автомобиля: уязвимость позволяла удаленно взламывать систему управления автомобилем через развлекательную систему и даже перехватывать управление. Действительно, если уязвимости есть в софте, в компьютерных устройствах, в гостиничных ключах и брелках для автомобилей, почему бы им не быть в автомобилях? Не могу не процитировать этот показательный твит:
Мой принтер чаще работает чем нет, WiFi глючит, но редко, Xbox обычно узнает меня, и даже Siri, бывает, работает нормально. Но моя машина с автономным управлением будет работать идеально!
Компьютеры, когда им поручено сделать что-то самостоятельно, обычно делают меньше ошибок и глупостей, чем люди. Вот только программируют их люди, и все чаще компьютерным системам на откуп отдаются весьма критичные процессы — от управления АЭС до стояния в пробке на Ленинградке. Добро пожаловать в дивный новый мир!
Шифрование
Сложная тема. Оценить эффективность того или иного метода шифрования данных возможно только в рамках серьезной научной деятельности, и то результат подчас либо не гарантируется, либо может измениться со временем. Показательный пример — алгоритм криптографического хеширования SHA-1, пять лет назад считавшийся достаточно надежным, но в 2015 году объявленный теоретически уязвимым. АНБ поставила под сомнение стойкость алгоритмов шифрования с применением эллиптических кривых, и уже задумывается (или делает вид, что задумывается, тут до конца не ясно) о шифровании, способным устоять даже перед квантовыми компьютерами.
Но этим тема шифрования не ограничивается. Крайне слабая криптография поставила под удар уже активно использующийся протокол Open Smart Grid (новость, 6 место). OSGP — это реализация «интернета вещей» для электросетей, попытка объединить счетчики и управляющие электричеством системы в единую сеть, а с электричеством лучше не шутить. Сложность темы приводит и к тому, что основным критерием к системе шифрования данных является доверие. Случившийся еще в середине 2014-го демарш разработчиков TrueCrypt подорвал доверие к этому популярному ПО для защиты информации, и в 2015 году мы увидели сразу несколько аудитов исходного кода программы, а также появление вызвавших большой интерес спин-оффов — VeraCrypt и CipherShed (новость, 4 место). Совсем недавно был раскрыт бэкдор в маршрутизаторах Juniper, и в этой истории тема шифрования также играет не последнюю роль.
Серьезные уязвимости и серьезные атаки
Если в прошлом году самыми резонансными прорехами в безопасности стали Shellshock и Heartbleed, то в этом внимание привлекли уязвимость Stagefright (новость, 5 место) в Android и уязвимость в функции определения IP-адреса, являющейся частью стандартной библиотеки GLIBC в Linux-системах (новость, 3 место).
Исследователь уязвимостей в Linux. Художественная интерпретация.
Любая уязвимость проходит через «теоретическую» и «практическую» стадии — в некоторых случаях все ограничивается исследовательским proof-of-concept, но иногда о новой дыре узнают пост-фактум, проанализировав уже активную атаку. В 2015 году к этим двум вариантам добавился третий: утечка данных из компании Hacking Team, специализирующейся на продаже эксплойтов госструктурам, выявила ранее неизвестную уязвимость в Adobe Flash, которая немедленно начала эксплуатироваться киберкриминалом.
Из реальных атак двумя наиболее заметными стали раскрытые исследователями «Лаборатории» операции Carbanak и The Equation. Если в первом случае наиболее впечатляла оценка ущерба (миллиард долларов), то во втором — совершенство инструментов атаки, включая возможность восстановления контроля над компьютером жертвы с помощью модифицированной прошивки жесткого диска, а также длительность операции: десятки лет! Подробнее о февральских исследованиях — в этом посте.
Рутинные уязвимости в распространенном ПО
Таких было обнаружено очень много. Лучше всего это заметно на примере патчей для Adobe Flash: 14, 24 и 28 января, март, июнь, июль, сентябрь, декабрь. С одной стороны это выглядит как плохие новости, с другой — латание дыр, как минимум у Adobe, ведется очень активно — уязвимости закрываются десятками за один апдейт. Нельзя сказать, что в целом софт стал безопаснее, но важной тенденцией этого года стало более серьезное отношение разработчиков софта к безопасности, и это не может не радовать.
Особым вниманием пользуется софт, установленный на максимальном количестве компьютеров, а на каждом ПК есть как минимум один браузер. Из разработчики вынуждены не только следить за самозащитой, но и, по возможности оберегать пользователей от угроз на других сайтах (зачастую принудительно ограничивая функциональность, как это произошло с тем же Flash в Chrome). С браузерами связаны две самых популярных новости на Threatpost за 2015 год. На прошедшем в марте хакатоне pwn2own были взломаны все основные браузеры — сначала Firefox и IE, а позднее — Chrome и Safari (новость, 2 место).
Довольные white hat хакеры на pwn2own
Наконец, самой популярной новостью года (вполне в стиле прошлогоднего дайджеста) стала блокировка древней системы расширений NPAPI в браузере Chrome (новость, 1 место). Апрельская блокировка NPAPI привела к неработоспособности огромного количества плагинов — от Java до Silverlight, и соответствующим проблемам у большого числа разработчиков. Отказ от legacy кода — еще одна важная тенденция последнего времени: в определенный момент такое наследие начинает приносить больше проблем, чем пользы.
Сомневаюсь, что в 2016 году проблем с безопасностью станет меньше, скорее наоборот. Уверен, что появятся и новые методы защиты от киберугроз. В любом случае, нам определенно будет что обсудить. В качестве дополнительного чтения по итогам этого года рекомендую общий обзор угроз от экспертов «Лаборатории», отдельный анализ киберугроз для бизнеса и предсказания на 2016 год.
Sykoku
Grub-уязвимость забыли (28 BackSpace).
А по поводу отказов от поддержки сторонних приложений (NPAPI ) — неизвестно, что хуже: одно, но с известными дырами, или 2-3 новых, исполняемых на уровне уже ядра ОС, но с неизвестной функциональностью.
f15
Одним из недостатков моей методики является тот момент, что важные новости в конце года по определению получают меньше шансов быть замечеными. На то есть еженедельные дайджесты.
Кстати, хотел поинтересоваться — а парольной защитой в Grub вообще часто пользуются? Я не совсем настоящий линуксоид, но кажется мне даже мысли такой не приходило в голову.
mrThe
У меня в вузе везде был запароленный граб, например. Впрочем, больше такого нигде не встречал.