История о споре между Apple и ФБР показала нам как политика может повлиять на технологии. На этой неделе все обсуждают обратный пример — тему об утечке данных из панамской юридической фирмы Mossack Fonseca. Не касаясь политической стороны этого события, не могу не отметить важный момент: резонансная история, скорее всего, началась с кибератаки и кражи данных. Об этом говорят в самой компании и есть косвенные доказательства того, что взломать инфраструктуру фирмы было не так уж сложно. В частности, внешний доступ к документам клиентов работал на версии Drupal трехлетней давности с минимум двумя критическими уязвимостями (впрочем, достаточно было одной этой).

Как на самом деле все произошло, мы вряд ли когда-нибудь узнаем. В индустрии ИБ вообще очень сложно учиться на чужих ошибках: делиться негативным опытом компании, по понятным причинам, не любят. Но общие выводы сделать можно, а именно:

— Не бывает неважных корпоративных данных. Не исключено, что в Mossack Fonseca даже не подозревали, какой резонанс могут вызвать хранящиеся у них документы. Это приводит к недооценке рисков и неадекватным затратам на защиту.
— Шифрование данных — это эффективная мера. Об этом говорит иная часть данной истории: десятки журналистов по всему миру анализировали полученные документы больше года, используя облачные системы и различные формы передачи данных в зашифрованном виде (начиная с VeraCrypt, форка TrueCrypt для шифрования жестких дисков). За это время не произошло ни одной утечки, несмотря на огромное количество участников проекта и отсутствие серьезных обязательств между ними.
— Объем утечки превышает 2,5 терабайта. Нужна система, которая поможет компаниям фиксировать такие события. Неважно по какой причине с серверов компании утекает огромный объем данных — специалист по безопасности должен об этом знать.

А теперь перейдем к традиционным новостям. Все выпуски дайджеста доступны по тегу.

Adobe закрывает критическую уязвимость в Flash, которая уже используется для распространения криптолокеров
Новость. Advisory.

Очередных, внеочередных и прочих патчей для Adobe Flash за последнее время было так много, что очередной апдейт вряд ли бы удостоился внимания, если бы не активное использование критической уязвимости. До того, как апдейт был выпущен. Не так уж часто киберпреступники получают информацию о свежих уязвимостях до того, как они закрываются. Это им, впрочем, не мешает заражать пользователей незащищенных ПК и после патча, так как не всегда и не везде софт обновляется вовремя. Как выяснилось в четверг, критическая уязвимость Adobe Flash затрагивала версии для всех платформ, вызывала сбой в работе плагина и могла привести к выполнению произвольного кода. Уязвимость использовали в эксплойт-паках Magnitude и Nuclear для распространения криптолокеров Cerber и Locky.

Locky — это тот самый троян-шифровальщик, который недавно наделал шума после инцидента с заражением медицинских учреждений. Уверен, что данное событие послужит еще одним аргументом в пользу полного и окончательного отказа от Flash — ведь получается, что даже устанавливая самые последние апдейты нельзя быть уверенным в безопасности системы. Но оказывается своевременный апдейт все же помогает и в этом случае. Проанализировав эксплойт-пак, эксперт компании Proofpoint заметил, что он таргетирует пользователей совсем старых версий Flash. Новый эксплойт, который какое-то время (минимум 3 дня до патча) мог успешно атаковать даже самые свежие релизы плагина, почему-то использовался только для устаревших версий. Судя по всему, создатели эксплойт-пака не до конца поняли, что именно попало им в руки.

Whatsapp внедрил сквозное шифрование сообщений для всех пользователей
Новость. Пост в блоге Whatsapp.

Создатели мессенджера Whatsapp в последней версии клиента для всех мобильных платформ включили полное сквозное шифрование сообщений. Причем это касается всех видов передаваемых данных: в личных и групповых чатах, текст и картинки, для голосовых сообщений и звонков. Для шифрования используется открытый протокол Signal. Если шифрование реализовано корректно, и оно действительно сквозное, то по идее прочитать сообщения можете только вы и ваш собеседник (или собеседники). Именно это в Whatsapp и обещают. Именно поэтому данное событие называют куда более важным, чем спор между Apple и ФБР: сотни миллионов пользователей на этой неделе получили бесплатный, надежный и защищенный канал связи.



Или нет? Мы собрали комментарии экспертов в этой новости. В частности, протокол может быть идеальным, но в конечном счете за реальную защиту данных отвечает владелец системы, то есть в данном случае Facebook. По мнению независимого эксперта Джонатана Здярски, приватность и сам Facebook — вещи малосовместимые. Уверен, что так думает не только он. Более аргументированный довод: даже если сообщения будет невозможно расшифровать, метаданные (IP-адреса и другая информация) все равно раскрывают слишком многое, чтобы можно было говорить о полной приватности или анонимности. Наконец, зашифрованная передача данных не отменяет уязвимости информации на конечном устройстве. Впрочем, это мы уже проходили недавно, с кейсом о взломе телефона Apple. Уверен, довольно скоро дебаты на тему конфликта между приватностью и необходимостью отслеживать коммуникации, конечно с благой целью (но и не только) будут продолжены. И обсуждать на них будут как устройства, так и протоколы и сети: две ключевых точки перехвата информации.

Про абсолютную приватность недавно высказался глава ФБР, читайте в этой новости. Если коротко, то он против.

Пентагон открывает собственную bug bounty программу Hack The Pentagon
Новость.

Как взломать Пентагон и получить за это деньги. ОК, не совсем так. Программы Bug Bounty прежде всего направлены на то, чтобы формализовать общение между исследователями и вендорами, дать возможность первым получать вознаграждение за свою работу, а вторым — своевременную информацию об уязвимостях в софте, железе или инфраструктуре. За последние полгода мы не раз обсуждали примеры, когда в этом общении что-то идет не так: и уязвимости раскрываются до появления патчей, и вендоры пытаются наезжать на исследователей. Тем не менее организация собственной программы мало того, что у госструктуры, так еще и у военного ведомства — это серьезный прогресс, и весьма позитивная новость.



Программа реализована на платформе компании HackerOne, предоставляющей компаниям инфраструктуру для работы с исследователями. Впрочем, прогресс-прогрессом, но без особенностей не обошлось. Предъявлять определенные требования к найденным уязвимостям — это вполне нормально, но Пентагон довольно серьезно фильтрует и самих исследователей. Нужно иметь гражданство США, а особым счастливчикам еще придется пройти security check, включая проверку на наличие судимостей. Отказаться от проверки можно, но и премию тогда не выплатят, даже если исследование будет соответствовать всем правилам.

Что еще произошло:
На Филиппинах украли базу данных избирателей, 55 миллионов записей.

ФБР в рамках судебного разбирательства попросили рассказать, как именно они взламывают коммуникации в сети Tor. ФБР вежливо ответило отказом.

Опасная уязвимость в сетевых экранах Cisco.

Древности:
Семейство «Protect»

Опасные резидентные вирусы, стандартно поражают COM- и EXE-файлы при из запуске на выполнение. Перехватывают int 21h и int 1Ch или int 33h в зависимости от версии. Содержат текст: «File protection». «Protect-1157» снимает атрибуты файлов и блокирует работу мыши. «Protect-1355» проявляется на EGA и VGA мониторах мелким и очень противным дрожанием экрана.

Цитата по книге «Компьютерные вирусы в MS-DOS» Евгения Касперского. 1992 год. Страницa 44.

Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.

Комментарии (2)


  1. pnetmon
    11.04.2016 15:35

    >> "— Шифрование данных — это эффективная мера. Об этом говорит иная часть данной истории: десятки журналистов по всему миру анализировали полученные документы больше года, используя облачные системы и различные формы передачи данных в зашифрованном виде (начиная с VeraCrypt, форка TrueCrypt для шифрования жестких дисков). За это время не произошло ни одной утечки, несмотря на огромное количество участников проекта и отсутствие серьезных обязательств между ними."

    Шифрование не причем — огромное количество участников проекта работают с расшифрованными в момент работы данными, нелегальные средства могли переслать данные в момент работы с ними.


    1. BoogerWooger
      12.04.2016 15:17

      Залить троян на целевую машину во много раз сложнее, чем перехватить трафик. Разумеется это очень эффективная мера, пусть хотя бы в сети и в общедоступных хранилищах данные будут в безопасности. Если защита документов будет означать защиту только компьютеров, на которых с ними работают, а не всех сетевой инфраструктуры передачи и хранения данных, общий уровень безопасности очень существенно повысится.