Всем привет! Сегодня мы ведем текстовую трансляцию со дня открытых дверей Лаборатории Касперского – Open Day 2017.

Видео-стрим:



Текстовая трансляция под катом.

В этот раз новости из нашего дайджеста содержат самоочевидную мораль: многим компаниям плевать на безопасность их клиентов, пока это не наносит прямой финансовый ущерб. К счастью, это касается не всех компаний, но эта неделя выдалась особенно богатой на подобные постыдные истории.

Едва успела выйти новая версия MacOS (недели не прошло), как исследователь из Synack Патрик Уордл опубликовал шикарный пост о High Sierra. Оказывается, что Keychain – защищенный контейнер для учетных данных, PIN-кодов, номеров банковских карт и прочих важных данных – на самом деле уже версии три как ничего не защищает. То есть по факту Keychain это такое место, откуда можно разом украсть вот это вот все.

Товарищ Уордл заявил, что приложение, хоть подписанное, хоть неподписанное, может сливать дамп всего содержимого Keychain в открытом, незашифрованном виде. Строго говоря, приложения вполне официально имеют доступ к Keychain, но только к своим данным – а тут вроде бы ко всем. Важный нюанс: эксплойт работает только с разблокированным Keychain, однако по умолчанию он разблокируется при логине в систему.

«Лаборатория Касперского» приглашает желающих принять участие в масштабном киберштурме модели нефтеперегонного завода — нашем индустриальном CTF 2017. На этот раз финал соревнования пройдёт 24 октября в Шанхае, прямо на конференции GeekPWN. Это мероприятие, посвященное новым уязвимостям нулевого дня в устройствах всех мастей, проводит партнер ЛК — компания Keen Cloud Tech. Так что четыре лучших команды, преодолевших отборочный этап в онлайне, получат возможность не только атаковать технологические процессы нефтепереработки небольшого завода с цифровой подстанцией, но и увидеть деловую столицу Китая, а также пообщаться с лучшими отраслевыми ИБ-спецами. Кроме того, финалисты смогут испытать на прочность и несколько IoT устройств, связанных между собой, включая новую версию Алкобота ЛК, который наградит взломщиков интересными напитками. И весь этот hack&fun — за счет организаторов: финалистам оплатят билеты и проживание в Китае.

Каким бы действенным ни был метод защиты «отрезать кабель в интернет», пользуются им чрезвычайно редко – даже те, кому стоило бы. Но исследователи не унимаются в попытках придумать самый курьезный способ преодоления «воздушного разрыва». То звуком, то светом, то теплом, то голубями почтовыми. И таки трое ловкачей из Университета Бен-Гуриона на днях сообразили кое-что новое – использовать секьюрити-камеры.

Замысел такой: физически изолированная (air-gapped) сеть заражается зловредом. Как – это давно придумано, и даже реализовано (Stuxnet, например). Флешечку можно подкинуть, диск с зараженным софтом, да мало ли что. Но войти – не значит выйти. Однако же мало найдется объектов с изолированной сетью без системы физической безопасности с камерами наблюдения. А чтобы что-то видеть, когда в помещении выключен свет, нужна подсветка, и большинство камер оснащается массивом ИК-светодиодов. Некоторые из этих камер можно увидеть снаружи, через окно.

Соответственно, камеры со специальным троянцем превращаются в ДВУСТРОННИЙ канал передачи данных. Причем невидимый невооруженным глазом. Наружу данные передаются ИК-диодами, а злоумышленник с обычным смартфоном их принимает. Чтобы ввести данные, хакер пользуется таким же массивом ИК-диодов, а камера принимает их сигнал.

Автор статьи — Алексей Маланов, эксперт отдела развития антивирусных технологий «Лаборатории Касперского».

Вопрос, что понимать под блокчейном, не праздный. Даже блокчейн-специалисты выдадут разные определения и разные границы технологии, чего уж говорить о людях, далеких от технологий. А сейчас блокчейн обсуждается даже политиками и большими инвесторами, им-то каково?

Давайте разбираться.

Предупреждаю сразу, статья философская с пространными рассуждениями и демагогией. Хотите конкретики, читайте другую. Хотите разобраться — читайте третью.


Иллюстрация из книги Мелани Свон «Блокчейн. Схема новой экономики»

BlueBorne. Запомните это название. Это даже не уязвимость, это — целая пачка дыр в реализациях Bluetooth в Windows, Linux, Android и даже немножко в iOS. Вскрыли этот нарыв исследователи из Armis Labs, они же и оценили число потенциальных жертв в… 5,3 миллиарда устройств.

Словом, дело нешуточное. BlueBorne позволяет атаковать девайс с поддержкой Bluetooth с другого «голубозубого» устройства. Причем, оба аппарата не обязательно должны быть спарены. Более того, жертве даже не нужно быть «на радарах» Bluetooth-собратов в округе. Иными словами, если у тебя есть голубой зуб, ты под угрозой.

Кулек обнаруженных уязвимостей выглядит так:

• CVE-2017-1000251. RCE в ядре Linux;
• CVE-2017-1000250. Уязвимость утечки данных в стеке Bluetooth;
• CVE-2017-0785. Уязвимость утечки данных в Android;
• CVE-2017-0781. RCE в Android;
• CVE-2017-0782. RCE в Android;
• CVE-2017-0783. Логическая уязвимость в Android (Bluetooth Pineapple);
• CVE-2017-8628. Логическая уязвимость в Windows (Bluetooth Pineapple);
• Такая лютая, что пока без CVE. RCE-уязвимость проприетарного протокола Apple Low Energy Audio Protocol.

Исследователи из EnSilo объявили, что нашли баг в ядре Винды, да какой! Он может не позволить антивирусу узнать о загрузке исполняемого файла. Эксплуатация такой дыры напрочь исключает возможность проверки файла при запуске, то есть троянец может фактически обезвредить защитное решение.

Глюк был найден в PsSetLoadImageNotifyRoutine – функции уведомления, которая вызывается в момент загрузки виртуального образа. Без ее корректной работы контролировать запуск PE-файлов затруднительно, но именно там разработчики Microsoft оставили баг, из-за которого В ОПРЕДЕЛЕННЫХ УСЛОВИЯХ вредоносный файл может быть запущен незаметно для всех, кому это может быть интересно.

Почему экономическая целесообразность может привести к краху Биткойн

Автор статьи — Алексей Маланов, эксперт отдела развития антивирусных технологий «Лаборатории Касперского»

Обсудим, чем определяется прибыльность майнинга биткойна, какие принципы по адаптации скорости майнинга были заложены в него изначально, и почему эти принципы в конечном итоге могут привести к краху этой криптовалюты.



Мы предполагаем, что читатель имеет представление об основных механизмах функционирования Биткойн, таких как: блокчейн, майнинг, майнинговые пулы, награда за блок.

Предупреждение. В этой статье мы исследуем теоретическую возможность развития описываемого сценария с учетом заложенных в Биткойн алгоритмов. Мы не ставили себе цели детально проанализировать структуру затрат майнеров, цены на электричество в различных районах мира, банковские ставки и сроки окупаемости оборудования.

16 сентября в московском офисе «Лаборатории Касперского» пройдет вторая встреча сообщества MOSDROID для всех, кто увлечен мобильной разработкой. И если в первый раз мы говорили об инструментарии Android-программистов (Groovy, Kotlin и автоматизации CodeReview), то на этот раз речь пойдёт о внутренностях операционки — от хранения чувствительной информации средствами системы до межпроцессного взаимодействия.

К слову, доля зелёного робота на рынке мобильных устройств вплотную приблизилась к 90%. Это означает, что Android установлена примерно на девяти из десяти проданных смартфонов. В общем, самое время пилить крутой софт и слушать наши доклады:

Трагическая, но поучительная история молодого британского ИБ-специалиста Маркуса Хатчинса, арестованного в США месяц назад, начала скатываться в откровенный фарс. Надо сказать, Штаты обошлись с Маркусом относительно мягко: парня выпустили под залог в $30 тыс, так что он с браслетом на ноге дожидается суда на воле. Не ограничили даже доступ к компьютеру.

Между тем, в защиту Хатчинса выступили многие коллеги. Действительно, Маркус проявил себя достойно в истории с WannaCry, а выдавать себя за троянописателя мог и в исследовательских целях. В итоге доброжелатели организовали для него сбор денег. Ведь с деньгами-то защита всегда идет как-то бойчее. Сбором рулил нью-йоркский адвокат Тор Экеланд, специализирующийся на таких делах. За пару недель друзья и сочувствующие подтянули аж $150 тыс.

Однако друзья у Маркуса оказались какими-то подозрительными. Процессинговая компания, обрабатывающая транзакции, определила, что из сделанных пожертвований только $4900 легитимны, остальные деньги пришли с краденых банковских карт. Тор расстроился от таких новостей и объявил, что все честные жертвователи получат возврат.

Про CryptoNote, Lightning Network, Plasma, PoS и прочее

Автор статьи — Алексей Маланов, эксперт отдела развития антивирусных технологий «Лаборатории Касперского».

Недавно мы опубликовали статью «Шесть мифов о блокчейне и Биткойне, или Почему это не такая уж эффективная технология». Статья была положительно встречена Хабра-сообществом и активно обсуждалась в комментариях, что явно свидетельствует о большом интересе к этой теме.

Было среди комментаторов и несколько возмущенных. Кто-то негодовал: «Зачем вы пишете очевидное, ведь это все давно всем прекрасно известно?» На это трудно возразить по существу. Но были и те, кто писал в ключе: «Все это неправда, на самом деле все проблемы решены там-то и там-то».

В ближайшее время мы планируем выпустить еще две статьи, в которых мы анализируем и критикуем те или иные аспекты, относящиеся к теме блокчейна. Чтобы не расстраивать блокчейн-адептов и Биткойн-оптимистов, мы решили, что для разнообразия стоит вне очереди написать и оптимистичную статью. Мы рассмотрим те же мифы, что и в прошлый раз, но только с позиции того, как решаются эти проблемы.

«Докажи, что не робот: причини вред человеку или своим бездействием допусти, чтобы человек пострадал» — так могла бы выглядеть капча в оживших мирах Айзека Азимова с некоторой примесью позднего киберпанка. Пока же создатели трудящихся бок о бок с человеком роботов (co-bots, или «коботы») о трех законах не задумываются. И совершенно напрасно — в эпоху IoT машины с мозгами набекрень могут здорово насолить своим владельцам. Скажем, остановить конвейер крупного производства или оставить хозяина ночевать за порогом умного дома.

Исследователи из IOActive насчитали почти 50 уязвимостей в промышленных роботах производителей Rethink Robotics, Baxter/Sawyer и Universal Robots. Если верить опубликованному документу, многие модели можно перепрограммировать удаленно, заставив их шпионить или даже пакостить человеку (нападать из-за угла или обижать любимых котиков). Ведь речь не просто о каких-нибудь стационарных манипуляторах — коботы умнее, самостоятельно передвигаются, оснащены камерами, микрофонами и прочим обвесом, добавить в который вредоносного кода по вкусу не составит никакого труда.

Автор статьи — Алексей Маланов, эксперт отдела развития антивирусных технологий «Лаборатории Касперского»

Неоднократно слышал мнение о том, что блокчейн — это очень круто, это прорыв, за ним будущее. Спешу вас разочаровать, если вы вдруг поверили в это.

Уточнение: в этом посте мы поговорим о том варианте реализации технологии блокчейн, который используется в криптовалюте Биткойн. Существуют другие применения и реализации блокчейна, в некоторых из них устранены какие-либо недостатки «блокчейна классического», но обычно они построены на одинаковых принципах.

Нет, вы только вдумайтесь в эту цифру: 1033 (тысяча тридцать три) уязвимости в Flash Player законопачено с 2005 года! Это больше, чем в Internet Explorer, больше, чем в Windows XP — в общем, через него «теперь хорошо вермишель отбрасывать», поскольку тема закрыта.

В свое время Flash Player стал настоящей революцией для веба – благодаря ему на сайтах буйно заколосилась анимация, поперли видосики, свистелки, игры для секретарей на ресепшене, ну и, конечно, убойные баннеры (хотел повесить тут пару примеров, но от воспоминаний глаз задергался). Были даже сайты, полностью сделанные на флеше.

Больше всех любили Flash «черные шляпы». Благо, его уязвимости – ходовой товар, и недостатка в них никогда не наблюдалось. Особенно урожайным выдался 2015 год, когда в «решете» насчитали еще 329 новеньких дыр. А ведь еще в 2010 году Джобс предупреждал, что Flash пора вынести на помойку. Причем главным аргументом была его закрытость. Ну да, глава Apple признал, что у его компании полно собственных проприетарных стандартов, но не для веба же! При этом, кстати, Adobe всячески препятствует появлению и развитию альтернативных проигрывателей Flash. В результате имеем свободный выгул для эксплойтов, раздолье для крупного и мелкого рогатого зловреда.

Автор статьи — Алексей Маланов, эксперт отдела развития антивирусных технологий «Лаборатории Касперского»

Я пришел в «Лабораторию Касперского» студентом четвертого курса в 2004 году. Тогда мы работали по сменам, ночами, чтобы обеспечить максимальную скорость реакции на новые угрозы в индустрии. Многие конкурирующие компании в то время выпускали обновления антивирусных баз раз в сутки, им круглосуточная работа была не так важна. Мы же гордились тем, что смогли перейти на ежечасные обновления.

К слову, сам Евгений Валентинович Касперский сидел в той же комнате офиса, что и другие вирусные аналитики. Он «долбил» вирусы как и все, просто быстрее. И еще жаловался, что пиар-команда постоянно выдергивает его в командировки и не дает поработать в свое удовольствие. В общем, можно смело утверждать, что в 2004 году машинное обучение при анализе и детектировании вредоносного кода в «Лаборатории Касперского» не использовалось.

Скорость моего анализа вредоносов была в то время на порядок ниже темпа работы других аналитиков, ведь тут огромную роль играет опыт, и только со временем ты начинаешь «узнавать» семейства зловредов, просто заглянув внутрь.


Характерный вид содержимого Backdoor.Win32.Bifrose, популярного бэкдора того времени

В конце 2016 года пассажиры общественного транспорта Сан-Франциско заметили на информационных мониторах вместо расписания лаконичное сообщение: “Все данные зашифрованы”. Так впервые заявил о себе во всеуслышание криптолокер Mamba. После этого шифровальщик вроде бы залег на дно, но на днях проявился снова. На этот раз его атаке подверглись организации в Бразилии и Саудовской Аравии.

Mamba примечателен тем, что его авторы не стали морочиться с доморощенной реализацией шифрования, а просто использовали опенсорсную утилиту DiskCryptor. Операторы Мамбы проникают в сеть организации и запускают криптолокер утилитой psexec. Для каждой машины сети генерируется отдельный пароль шифрования, который передается через параметры командной строки дропперу троянца.

JS-разработчики порой творят друг с другом страшные вещи. Нет бы мирно кодить и радоваться каждому коммиту! Но в ряды травоядных мирных программистов затесался злодей, подкинувший в репозиторий npm пачку вредоносных пакетов. npm – стандартный менеджер пакетов в Node.js, и обладает облачным репозиторием, полным всяких полезнейших пакетов.

Негодяй, скрывающий свое бесчестное имя под ником HuskTask рассудил так, что людям свойственно ошибаться, и нет ничего естественнее, чем, например, пропустить дефис в cross-env. И залил в репозиторий свой пакет с именем crossenv. И еще несколько, именованных по тому же принципу. В результате какое-то количество пользователей загрузили в свои проекты пакеты от HuskTask, понятия не имея, что там за код внутри.

Один из пользователей таки заглянул в crossenv и побежал в твиттер бить тревогу. Как оказалось, этот пакет содержит скрипт, который добывает из переменных окружения важную информацию (например, учетные данные от npm), кодирует ее в строку, и отправляет POST-запросом на сервер npm.hacktask.net.

Что мы знаем о Маркусе Хатчинсе? На удивление мало. До истории с WannaCry о нем вообще ничего не было слышно, но тут его прославил блестящий ход со стоп-доменом. Парень порылся в коде троянца, нашел механизм самоуничтожения при получении ответа с захардкоденного домена, зарегал домен (затраты составили $10) и сумел существенно затормозить эпидемию Воннакрая.

Живет в Великобритании, работает в некоей компании Malwaretech. Ну, или сам он и есть Malwaretech. Судя по его сайту, Маркус с 2013 года реверсит вредоносный код и публикует неплохие исследования. Недавно запустил публичный ботнет-трекер, где можно посмотреть активность наиболее знаменитых ботнетов. В целом создается впечатление молодой, подающей надежды «белой шляпы».

Юное дарование приехало в Лас-Вегас – там как раз проходят конференции Black Hat и Defcon. И тут выяснилось, что парня заждались в окружном суде восточного Висконсина, причем с достаточно серьезными обвинениями на руках. Обвинительный акт содержит шесть пунктов, вменяемых Маркусу. Все они сводятся к тому, что Маркус Хатчинс, на пару с неназванным лицом ответственен за создание и распространение банковского троянца Kronos.

Эта история началась давным-давно, еще в прошлом году, когда исследователи из Kryptowire наткнулись на подозрительный трафик, исходящий из купленного по случаю китайского смартфона. Углубившись в прошивку аппарата, они выяснили, что система OTA-обновлений представляет собой натуральный бэкдор. Ну, и еще немножечко апдейтит прошивку, в свободное от шпионажа за пользователем время.

FOTA (firmware over the air), программный модуль от Shanghai Adups Technology Company отправлял куда-то в Китай буквально все: SMS-сообщения, IMSI и IMEI, журнал звонков, географические координаты устройства. На сайте Adups гордо заявлялось, что их чудненький FOTA используется на 700 млн устройств. В основном это китайские и не очень смартфоны, а также навигаторы, умные автомагнитолы и все прочие гаджеты с подключением к Интернету.

После неслабого скандала Adups заявили, что, во-первых, совсем даже не шпионили, во-вторых, вовсе не по заданию китайских госорганов, а, в-третьих, они не специально и больше так не будут. Прошел почти год.

Взломать одностраничный сайт на Wordpress и украсть $7,7 млн – это теперь не сценарий безграмотного кино про хакеров, а состоявшаяся реальность. Технологии! Все же заметили повальное увлечение ICO? Это как IPO, когда компания впервые выпускает свои акции и продает их через биржу. Только не акции, а токены, не через биржу, а напрямую, и, чаще всего, за криптовалюту.

Это все зачем? Криптоинвесторам то дорожающие то дешевеющие биткойны и эфиры жгут карман, а вложить их в хайповый стартап очень легко. Взял, да и перевел на нужный адрес, никакой мороки с биржей и брокерами. Быстро, просто, безопасно.

Неизвестные хакеры тоже оценили удобство ICO и решили поучаствовать. Нашли талантливых парней CoinDash, которые ICOшились с помощью сайта на Wordpress, ломанули его, подменили ethereum-адрес для инвестиций – и сидят, считают валящиеся миллионы. Первыми жертвами стали 2000 инвесторов, утратившие 37 тысяч эфира (на тот момент по $209 за каждую эфиринку).