Сегодня в Сан-Франциско заканчивается одно из важных мероприятий в индустрии инфобезопасности — конференция RSA. Свои решения здесь представляют более 400 компаний. Здесь есть все: от точечных решений по защите VPN и шифрованию до комплексных систем безопасности. Одной из ключевых тем конференции стала эволюция киберугроз и собственно развитие инфраструктуры, которую предполагается от них защищать. Среди знакомых, но по-прежнему актуальных тем — защита облачных систем (в любом понимании этого термина), а среди новых — защита Internet of Things, экосистемы, где мы скоро будем иметь дело с миллиардами устройств, маломощных по отдельности, но в совокупности дающих невиданную ныне вычислительную мощность.
Но IoT — это тема хоть и ближайшего, но будущего, а самой серьезной практической темой стала защита от таргетированных атак. Почему это важно? Речь идет о целевых атаках на конкретные компании. Если традиционное вредоносное ПО «бьет по площадям», то здесь мы говорим о попытках взломать заранее выбранную жертву. А значит в таких атаках разведка и использование уникальных особенностей инфраструктуры не менее важны, чем собственно инструменты атаки. Последние могут быть уникальными для каждой конкретной жертвы, что хорошо показано на примере кампании Poseidon.
Есть тысячи способов взлома одной той же компании. Выявить и закрыть все потенциально уязвимые точки невозможно. Но делать что-то надо, и тут каждый производитель предлагает свои способы. Общий момент: требуется собирать и обрабатывать огромный массив информации и выявлять подозрительную активность, отличную от нормальной сетевой деятельности сотрудников. Мы в «Лаборатории» показали на конференции свое решение — Kaspersky Anti Targeted Attack Platform — подробнее о нем можно почитать тут. Новые угрозы тем временем появляются без перерывов и выходных, и ключевое событие этой недели — атака DROWN. О ней поговорим поподробнее. Все выпуски дайджеста доступны по тегу.
Атака DROWN: до трети защищенных соединений HTTPS могут быть расшифрованы в случае перехвата
Новость. Исследование.
Помните новость об исследовании про коллизии в SHA-1? В прошлом году алгоритм хеширования SHA-1 был признан теоретически уязвимым, и это стало достаточным поводом для того, чтобы производители браузеров начали массово отказываться от его поддержки. Поводом для этого стала научная работа, причем не подразумевающая какую-то реальную угрозу для ваших данных здесь и сейчас. Когда-нибудь в будущем — возможно. Так вот, атака DROWN показывает нам (для другой темы, но также связанной с шифрованием), как теория превращается в практику. И временной лаг между первым и вторым — очень приличный.
Суть уязвимости вот в чем. Для зашифрованных соединений сейчас повсеместно используется протокол TLS, пришедший на смену аналогичным протоколам SSLv3 и SSLv2, довольно уязвимым по нынешним стандартам. Когда вы подключаетесь к веб-сайту по протоколу HTTPS, внутри работает как раз этот самый TLS. С ним пока проблем нет, но есть нюанс. Довольно много серверов в сети поддерживают устаревший протокол SSLv2. Ну поддерживают и ладно, если кому-то придет в голову использовать его для установки соединения (в стандартном браузере у вас не получится такое сделать неумышленно), то так ему и надо. Но тут выяснилось, что используя эту самую поддержку SSLv2 можно расшифровать и нормально зашифрованный с помощью TLS трафик.
Атака, если сильно не вдаваться в детали, производится следующим образом. Злоумышленник перехватывает защищеный трафик жертвы. Затем делает серию запросов к серверу с использованием SSLv2 таким образом, что сервер отдает ему данные, достаточные для расшифровки трафика TLS. В двух различных сценариях атак расшифровка занимает время, но совсем немного — либо несколько часов на мощном сервере (или $440 аренды процессорных мощностей на Amazon), либо вообще за минуту на мощном ПК. Во втором случае «помогает» поддерживаемая довольно большим количеством серверов «экспортная», то есть заведомо ослабленная криптография. То есть требований к злоумышленнику немного: небольшие вычислительные мощности, прямые руки и возможность перехвата чужого трафика. Это действительно опасная штука.
И снова пришла беда, откуда не звали. Расшифрованный трафик может выдать данные, необходимые для взлома корпоративной сети, и предусмотреть заранее такие угрозы заранее совершенно невозможно — какой бы крутой не была защита вашего периметра, всегда найдется самый хитрый взломщик. Поэтому и старается индустрия максимально ускорить выявление успешных атак, когда проникновение уже произошло, но ущерб еще не нанесен. При чем тут история? Исследователи, открывшие уязвимость, ссылаются на работу некоего Дэниеля Бляйхенбахера, в 1998 году нашедшего похожую проблему в другой системе шифрования. И тогда это была совершенно теоретическая работа, так как речь шла (и сейчас идет) о десятках тысяч соединений к серверу, необходимых для проведения атаки. На тот момент это казалось нереальным, сейчас вполне возможно. Именно так научные исследования превращаются в суровые будни безопасника, пусть и 18 лет спустя.
Hacking Team возвращается с новыми эксплойтами
Исследование «Лаборатории».
Взлом HackingTeam — большое событие 2015 года. Из компании, печально знаменитой своей работой на госструктуры и поставляющей им инструменты для «законного» взлома компьютерных систем, тогда утекло много информации, причем очень опасной, включая несколько уязвимостей нулевого дня. Учитывая специфику работы HackingTeam, компании даже никто особо не посочувствовал, но организаторы данного сомнительного с этической точки зрения бизнеса сдаваться не собирались.
И вот недавно обнаружился новый вредоносный модуль, предназначенный для заражения и кражи данных с компьютеров под управлением Mac OS X. Впервые бэкдор был описан исследователями компании Objective-See, а наши специалисты дали больше информации о его реальной функциональности. Конкретно, вредоносная программа может делать скриншоты, красть информацию из системы и приложений, записывать жертву с помощью веб-камеры и микрофона, определять расположение ПК и даже красть сообщения SMS с телефона, если он подключается к зараженному компьютеру.
Мы, как и многие другие вендоры, детектируем и блокируем этот модуль. Неважно, для каких целей используется вредоносное ПО. Оно от этого менее вредоносным не становится.
Что еще произошло:
Еще одно важное обсуждение на RSA Conference: практически все игроки рынка согласны с тем, что взлом в ответ на взлом — это очень плохая идея. Как на уровне отдельных компаний (могут случайно отомстить не тем, кто атаковал), так и на уровне государств и спецслужб.
Продолжается битва между Apple и ФБР. Дело дошло до слушаний в конгрессе, да и на RSA Conference тема поднималась в каждом втором докладе. Эксперты практически единодушно выступают на стороне Apple (свою поддержку, например, официально высказал представитель Microsoft). Оппоненты разве что отмечают, что ФБР выбрал безукоризненный кейс, чтобы атаковать не только Apple, но и подход «технарей» к шифрованию в целом.
В автомобилях с кибербезопасностью все обстоит не очень хорошо. Мы и не сомневались.
Древности:
«Nina-1600»
Резидентный очень опасный вирус, поражает .COM-, .EXE- и .SYS-файлы, которые ищет в текущем каталоге при каждом вызове int 21h. .COM- и .EXE-файлы инфицирует стандартно. При заражении .SYS-файлов дописывает свое тело в конец файла и модифицирует программы Interrupt и Strategy заражаемого драйвера.
Активизируется только при отсутствии антивирусных блокировщиков. При попытке пройти коды вируса отладчиком уничтожает часть данных на диске. Содержит тексты: «Dear Nina, you make me write this virus; Happy new year!», "*:\COMMAND.COM".
Цитата по книге «Компьютерные вирусы в MS-DOS» Евгения Касперского. 1992 год. Страницa 41.
Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.
Но IoT — это тема хоть и ближайшего, но будущего, а самой серьезной практической темой стала защита от таргетированных атак. Почему это важно? Речь идет о целевых атаках на конкретные компании. Если традиционное вредоносное ПО «бьет по площадям», то здесь мы говорим о попытках взломать заранее выбранную жертву. А значит в таких атаках разведка и использование уникальных особенностей инфраструктуры не менее важны, чем собственно инструменты атаки. Последние могут быть уникальными для каждой конкретной жертвы, что хорошо показано на примере кампании Poseidon.
Есть тысячи способов взлома одной той же компании. Выявить и закрыть все потенциально уязвимые точки невозможно. Но делать что-то надо, и тут каждый производитель предлагает свои способы. Общий момент: требуется собирать и обрабатывать огромный массив информации и выявлять подозрительную активность, отличную от нормальной сетевой деятельности сотрудников. Мы в «Лаборатории» показали на конференции свое решение — Kaspersky Anti Targeted Attack Platform — подробнее о нем можно почитать тут. Новые угрозы тем временем появляются без перерывов и выходных, и ключевое событие этой недели — атака DROWN. О ней поговорим поподробнее. Все выпуски дайджеста доступны по тегу.
Атака DROWN: до трети защищенных соединений HTTPS могут быть расшифрованы в случае перехвата
Новость. Исследование.
Помните новость об исследовании про коллизии в SHA-1? В прошлом году алгоритм хеширования SHA-1 был признан теоретически уязвимым, и это стало достаточным поводом для того, чтобы производители браузеров начали массово отказываться от его поддержки. Поводом для этого стала научная работа, причем не подразумевающая какую-то реальную угрозу для ваших данных здесь и сейчас. Когда-нибудь в будущем — возможно. Так вот, атака DROWN показывает нам (для другой темы, но также связанной с шифрованием), как теория превращается в практику. И временной лаг между первым и вторым — очень приличный.
Суть уязвимости вот в чем. Для зашифрованных соединений сейчас повсеместно используется протокол TLS, пришедший на смену аналогичным протоколам SSLv3 и SSLv2, довольно уязвимым по нынешним стандартам. Когда вы подключаетесь к веб-сайту по протоколу HTTPS, внутри работает как раз этот самый TLS. С ним пока проблем нет, но есть нюанс. Довольно много серверов в сети поддерживают устаревший протокол SSLv2. Ну поддерживают и ладно, если кому-то придет в голову использовать его для установки соединения (в стандартном браузере у вас не получится такое сделать неумышленно), то так ему и надо. Но тут выяснилось, что используя эту самую поддержку SSLv2 можно расшифровать и нормально зашифрованный с помощью TLS трафик.
Атака, если сильно не вдаваться в детали, производится следующим образом. Злоумышленник перехватывает защищеный трафик жертвы. Затем делает серию запросов к серверу с использованием SSLv2 таким образом, что сервер отдает ему данные, достаточные для расшифровки трафика TLS. В двух различных сценариях атак расшифровка занимает время, но совсем немного — либо несколько часов на мощном сервере (или $440 аренды процессорных мощностей на Amazon), либо вообще за минуту на мощном ПК. Во втором случае «помогает» поддерживаемая довольно большим количеством серверов «экспортная», то есть заведомо ослабленная криптография. То есть требований к злоумышленнику немного: небольшие вычислительные мощности, прямые руки и возможность перехвата чужого трафика. Это действительно опасная штука.
И снова пришла беда, откуда не звали. Расшифрованный трафик может выдать данные, необходимые для взлома корпоративной сети, и предусмотреть заранее такие угрозы заранее совершенно невозможно — какой бы крутой не была защита вашего периметра, всегда найдется самый хитрый взломщик. Поэтому и старается индустрия максимально ускорить выявление успешных атак, когда проникновение уже произошло, но ущерб еще не нанесен. При чем тут история? Исследователи, открывшие уязвимость, ссылаются на работу некоего Дэниеля Бляйхенбахера, в 1998 году нашедшего похожую проблему в другой системе шифрования. И тогда это была совершенно теоретическая работа, так как речь шла (и сейчас идет) о десятках тысяч соединений к серверу, необходимых для проведения атаки. На тот момент это казалось нереальным, сейчас вполне возможно. Именно так научные исследования превращаются в суровые будни безопасника, пусть и 18 лет спустя.
Hacking Team возвращается с новыми эксплойтами
Исследование «Лаборатории».
Взлом HackingTeam — большое событие 2015 года. Из компании, печально знаменитой своей работой на госструктуры и поставляющей им инструменты для «законного» взлома компьютерных систем, тогда утекло много информации, причем очень опасной, включая несколько уязвимостей нулевого дня. Учитывая специфику работы HackingTeam, компании даже никто особо не посочувствовал, но организаторы данного сомнительного с этической точки зрения бизнеса сдаваться не собирались.
И вот недавно обнаружился новый вредоносный модуль, предназначенный для заражения и кражи данных с компьютеров под управлением Mac OS X. Впервые бэкдор был описан исследователями компании Objective-See, а наши специалисты дали больше информации о его реальной функциональности. Конкретно, вредоносная программа может делать скриншоты, красть информацию из системы и приложений, записывать жертву с помощью веб-камеры и микрофона, определять расположение ПК и даже красть сообщения SMS с телефона, если он подключается к зараженному компьютеру.
Мы, как и многие другие вендоры, детектируем и блокируем этот модуль. Неважно, для каких целей используется вредоносное ПО. Оно от этого менее вредоносным не становится.
Что еще произошло:
Еще одно важное обсуждение на RSA Conference: практически все игроки рынка согласны с тем, что взлом в ответ на взлом — это очень плохая идея. Как на уровне отдельных компаний (могут случайно отомстить не тем, кто атаковал), так и на уровне государств и спецслужб.
Продолжается битва между Apple и ФБР. Дело дошло до слушаний в конгрессе, да и на RSA Conference тема поднималась в каждом втором докладе. Эксперты практически единодушно выступают на стороне Apple (свою поддержку, например, официально высказал представитель Microsoft). Оппоненты разве что отмечают, что ФБР выбрал безукоризненный кейс, чтобы атаковать не только Apple, но и подход «технарей» к шифрованию в целом.
В автомобилях с кибербезопасностью все обстоит не очень хорошо. Мы и не сомневались.
Древности:
«Nina-1600»
Резидентный очень опасный вирус, поражает .COM-, .EXE- и .SYS-файлы, которые ищет в текущем каталоге при каждом вызове int 21h. .COM- и .EXE-файлы инфицирует стандартно. При заражении .SYS-файлов дописывает свое тело в конец файла и модифицирует программы Interrupt и Strategy заражаемого драйвера.
Активизируется только при отсутствии антивирусных блокировщиков. При попытке пройти коды вируса отладчиком уничтожает часть данных на диске. Содержит тексты: «Dear Nina, you make me write this virus; Happy new year!», "*:\COMMAND.COM".
Цитата по книге «Компьютерные вирусы в MS-DOS» Евгения Касперского. 1992 год. Страницa 41.
Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.
Chumicheff
Как же уже надоела эта дешевая пиар истерия вокруг Apple и FBI...
zloddey
<sarcasm>Ох уж этот ФБР, ни дня без пиара!</sarcasm>
На мой взгляд, тема более чем заслуживает широкого и серьёзного освещения. Решение суда по этому делу может иметь далеко идущие последствия. Не понимаю, как с этим могут сочетаться такие оценки, как "дешёвая", "пиар", "истерия".
Если лично Вам эта тема надоела, проще всего просто не читать новости безопасности. Обсуждение будет тянуться ещё долго.
Chumicheff
Я просто не люблю популизм вроде "самая безопасная ОС/платформа, нас даже ФБР не может взломать", "мы храним ваши данные в безопасности", когда реальность несколько иная.
zloddey
Ваше право не любить Apple, но в этой статье я подобных заявлений не увидел. Вы же не будете утверждать, что Apple платит экспертам, чтобы они упоминали их кейс "в каждом втором докладе" на конференции? Если такую возможность предположить, то это был бы, конечно, пиар. Но уже явно не дешёвый :) А если участники конференции поднимают этот вопрос сами, то, извините, это явно не пиар. Это именно обсуждение серьёзной проблемы.
Я не люблю, когда любой медиа-повод пытаются свести к шаблону "это всё дешёвый пиар". Это такой удобный приём, который позволяет отмахнуться практически от любого вопроса, сколько бы значимым и важным он бы ни был. В реальности же далеко не всё сводится к "пиару".
Chumicheff
Я и не спорю в целом, но в реальности именно этот случай как раз относится к "пиару". Пожалуй, про понятие "сарафанного маркетинга" вы когда-нибудь, да и слышали. Так вот это именно тот случай. Волна пошла именно после открытого письма Тима Кука (Там, кстати, в комментариях тоже много интересного о действиях Apple в плане "заботы о данных клиентов"). И все заверте...
При этом видимо все забыли про участие Apple в PRISM, да и на детали, вроде того, что все данные с того же iCloud были отданы ФБР без каких-либо проблем.
Справедливости же ради топорная криворукость ФБРовцев в этом деле никак не оправдывается.
zloddey
В первую очередь даже чрезмерные аппетиты, а не криворукость.