Что тут началось! Впрочем, что именно тут началось нам доподлинно не узнать, но Вайнман кинулся искать дыры. И, разумеется, нашел и показал. А сколько черных шляп нашли, но ничего не сказали?.. Риторический вопрос. Однако исходники уже несвежие, но это не особо мешает поиску уязвимостей, которые, если верить Rand Corporation, живут в софте в среднем по 7 лет. А смартфонов с разными версиями этой прошивки на руках у народа – тьма. Например, только за третий квартал 2016 года Huawei продала 33 миллиона смартфонов Honor, половина которых — с HiSilicon Balong на борту.
Порывшись в исходнике на основе VxWorks, Вайнман сумел разработать метод доступа к C-shell, встроенному интерпретатору C. Тот, правда, ничего особенного не дает делать, помимо вызова любых экспортированных функций. Но уже одно это позволило Вайнману снимать дамп памяти, модифицировать ее содержимое, запускать новые задачи, и загружать динамические модули ядра. В своем выступлении на конференции Infiltrate он продемонстрировал, как можно извне инициировать соединение, которое Android не увидит. Тааак, похоже, мой Honor 6c отправляется в помойку.
Атака, описанная Вайнманом, проводится через поддельную базовую станцию на основе OpenLTE, которая прикидывается реальной вышкой сотового оператора и отправляет на смартфон хитрые пакеты, переполняющие буфер в стеке LTE. В итоге Android крэшится, аппарат ребутится и заселяет на борт нового “постояльца” — бэкдора.
Теперь хорошая новость: это все еще LTE, то есть без обладания закрытым ключом оператора или без подмены ключа в SIM-карте БС не подделать. Пойду достану смартфон из помойки. Впрочем, это только цветочки: Вайнман утверждает, что САМОГО СТРАШНОГО он еще не рассказал. Ей-богу, как Сноуден. Просто хочет дать Huawei шанс исправить ошибки.
Мораль истории в том, что опен-сорс в аспекте информационной безопасности хорош там, где его легко пропатчить. А на смартфонах практика обратная: если вашему аппарату стукнул год, обновления вы, скорее всего, не дождетесь. Вот и не стоит вендору публиковать исходники и облегчать работу хакерам.
Компании сливают конфиденциальные данные через мультисканеры
Еще одна страшная новость с нашего SAS 2017. Как-то раз Маркус Найс из Swisscom AG натравил Yara на семплы, загруженные в VirusTotal. Абсолютно нормальное занятие, вот только он составил правила для поиска не малвари, а PGP-ключей. Обнаружив несусветное их количество, Маркус дополнил правила признаками конфиденциальных данных – TLP-метками уровней GREEN, AMBER и RED.
Первый улов его потряс: 60 писем от ФБР, 800 оповещений об информационных угрозах от Министерства внутренней безопасности США,
Вроде бы пока не очень страшно: ну льют все, что льется, на VirusTotal, no big deal. Однако же немалая доля пользователей сервиса может эти семплы скачивать. И качает ведь. Исследователь для проверки залил документ Microsoft Word с «канарейкой»-токеном, и в первые же два дня зафиксировал доступ из США, Германии, России и Польши.
Все это иначе как утечкой данных не назовешь, причем зачастую сливаются не свои данные, а информация клиентов и подрядчиков, а это совсем уже неприлично. По словам Нейса, особенно эту практику полюбили индийские IT-аутсорсеры – валят на VirusTotal и ему подобные сервисы все подряд. Вот так наймешь себе немного дешевых кодеров, а они твои данные всему миру явят… И наивно было бы думать, что черные дата-брокеры еще не обнаружили такую сытную кормушку.
Microsoft закрыла любимый зеродей Dridex
Есть и хорошие новости, и исследования. Только Dridex повадился заражать машины через уязвимость нулевого дня в MS Office, как Microsoft его взяла и закрыла! Буквально за три дня после обнаружения. Неясно, правда, как давно Dridex промышлял через этот баг. А последний, надо сказать, был сочный – позволял выполнять произвольный код, причем от жертвы требовалось лишь открыть документ с эксплойтом. Больше ничего жать не надо, ваш компьютер уже приняли в большую дружную ботосемью Dridex. В интернет-банк после этого лучше и не заглядывать – расстроитесь. Чуть погодя.
Механика работы эксплойта незамысловата. Жертва открывает RTF-документ со встроенным объектом OLE2link. Ворд послушно лезет в Интернет, куда указывает объект, тащит оттуда HTA-файл и скармливает его интерпретатору mshta.exe. VBScript внутри HTA, в свою очередь, скачивает троянца и устанавливает его, параллельно закрывая winword.exe и запуская его заново, но уже с другим документом. Это нужно, чтобы пользователь не успел увидеть сообщение от Word, создаваемое OLE2link.
А, да, чуть не забыл сказать, что Microsoft дыру закрыла, но как-то не до конца: пока есть патч только для Microsoft Office 2010, да и то, требующий SP2. При этом уязвимость актуальна вплоть до Office 2016. В качестве временного решения предлагается заблокировать RTF в Word и использовать Microsoft Office Protected View. Ну или предварительно высылайте все документы на VirusTotal (шутка:).
Древности
«Digger-1475»
Неопасный нерезидентный вирус. Зашифрован. Обходит дерево каталогов и стандартно записывается в COM- и EXE-файлы. Содержит текст «© DIGGER». Оставляет небольшую резидентную программу, которая периодически переворачивает экран вверх ногами.
Цитата по книге «Компьютерные вирусы в MS-DOS» Евгения Касперского. 1992 год. Страницa 64.
Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.
Комментарии (2)
vesper-bot
17.04.2017 10:30Вот и не стоит вендору публиковать исходники и облегчать работу хакерам.
Это маркетинг. С одной стороны плохой, с другой хороший. Плохой в том, что человек, узнавший, что в его телефоне уязвимость, которую вендор патчить именно в этом телефоне не станет, может выбрать другого производителя смартфонов — благо сейчас их довольно много. Хороший в том, что найденные уязвимости с куда большей вероятностью будут пропатчены в текущих и следующих моделях того же производителя, а значит, в конечном итоге с безопасностью у производителя, открывающего код, будет получше, чем у того, который это в принципе делать не станет. К чему это приведет — неясно. Хм.
Я бы, наверно, вначале натравил относительно широкий аудит кода на модули, которые планирую опубликовать как открытый код, каких-нибудь пентестеров или подобных специалистов по поиску уязвимостей, под NDA и другими юридическими ограничениями, потом всё это позакрывал, обновил прошивки для всех актуальных моделей своего оборудования, и только потом выпускал патченый код наружу. Встало бы такое исследование в серьезную сумму, закрытие всех дыр ещё раз в десять больше, правда. Может, у хуавея столько денег нет? :-)
teleghost
>Компьютерные вирусы в MS-DOS
я аж прослезился на один глаз, предупреждать же надо…