Сетевая архитектура LTE

На прошедшей конференции по безопасности сетей и распределённых систем в Сан-Диего NDSS 2018 было немало интересного, но самое большое внимание привлёк доклад американских исследователей из Университета Айовы и Университета Пердью по уязвимостям в сетях связи четвёртого поколения (4G): LTEInspector: A Systematic Approach for Adversarial Testing of 4G LTE (pdf). Такое внимание объяснимо, учитывая широкую распространённость сетей 4G LTE.

Исследователи сосредоточились на анализе трёх критических процедур, которые используются в протоколе:

• Attach — процедура, которая связывает абонентское устройство с сетью (например, при включении телефона).
• Detach — осуществляется при выключении устройства или отключении сети (например из-за плохого качества сигнала или если телефон не может пройти проверку подлинности в сети).
• Paging — этот протокол является частью установки вызова, чтобы форсировать на устройстве повторный приём системной информации, а также сообщений экстренного характера.

7 марта 2018 года владельцы шлемов виртуальной реальности Oculus Rift попали в крайне неприятную ситуацию. В один день их гаджеты внезапно перестали работать, выдав ошибку "Can’t Reach Oculus Runtime Service".



Как выяснилось, проблема возникла из-за истечения срок действия сертификата подписи кода для динамической библиотеки OculusAppFramework.dll, которая входит в состав Oculus Runtime Service. Она просто не загружалась. В файле указан срок истечения сертификата:

Valid to: ‎Wednesday, ‎March ‎7, ‎2018 01:00:00 PM

Интернет постоянно растёт и улучшается, благодаря этому мы теперь можем свободно общаться с людьми во всем мире. С распространением Wi-Fi мы начали создавать устройства, которые тоже подключаются к интернету, передавая данные по сети. Это замечательно, но обратная сторона медали в том, что у каждого подключенного к интернету человека на планете теперь есть собственные сети и собственные данные, которые могут стать жертвой кражи.

Мы считаем, что повышая осведомлённость об этих уязвимостях и просвещая общественность, можно сделать интернет чуть более безопасным местом. Для бизнеса будет полезно узнать о таких эффективных мерах ИБ как трудоустройство хакеров, симуляция фишинга для своих сотрудников и киберстраховые полисы.

В течение октября, когда отмечался месяц кибербезопасности National Cyber Security Awareness Month, мы каждый день публиковали в твиттере по одному совету. Здесь собрана полная подборка из 31 совета с дополнительными разъяснениями, как защитить себя в нынешних условиях.

Сертификаты подписи кода уже несколько лет используются злоумышленниками для вредоносных программ. Ещё в 2010 году исследователи обратили внимание на образцы зловредов с сертификатами, скопированными из «чистых» файлов. Естественно, такая подпись кода не проходила проверку Authenticode (см. презентацию F-Secure на конференции CARO 2010).



Очередной ласточкой стал в 2011 году «правительственный» зловред Stuxnet. Он использовал четыре 0day-уязвимости в Windows, чтобы распространиться и получить права администратора, и был подписан настоящими сертификатами, украденными у Realtek и JMicron. Зловред устанавливался в систему как драйвер Microsoft.



Потом появились другие примеры, а примерно с 2015 года заработал полноценный чёрный рынок валидных сертификатов от авторитетных удостоверяющих центров (УЦ). Такие сертификаты продаются на подпольных форумах вроде российского Antichat.

Есть распространённое мнение, что сертификаты безопасности на чёрном рынке украдены у реальных владельцев. Это не так. Их действительно выдают настоящие УЦ.

Статистика Let's Encrypt

4 января 2018 года центр сертификации Let's Encrypt начал тестирование конечной точки программных интерфейсов для автоматической выдачи wildcard-сертификатов. Эти сертификаты выдаются только в новой версии автоматизированной среды управления сертификатами — ACME v2. Публичный запуск ACME v2 был запланирован на 27 февраля, но в последний момент его решили отложить на некоторое время. Это не вина Let's Encrypt. Просто 8 января 2018 года неожиданно обнаружилось, что один из методов валидации доменов TLS-SNI-01 можно использовать для получения сертификата на чужие поддомены. Центр сертификации Let's Encrypt отключил поддержку TLS-SNI-01 и отложил введение протокола ACME v2, где собирались использовать новую проверку TLS-SNI-02, подверженную той же уязвимости.

Теперь рабочая группа IETF ACME работает над стандартом TLS-SNI-03. Там проблему должны решить.

Wildcard-сертификаты — одна из самых часто запрашиваемых функций среди пользователей. Такой сертификат распространяется сразу на несколько поддоменов, так что не нужно отдельно регистрировать каждый поддомен в отдельности.

Google и Mozilla давно агитируют за повсеместное шифрование веб-трафика и установку сертификатов SSL/TLS. В 2013 году по инициативе Mozilla создана организация Internet Security Research Group, которая в 2015 году запустила сервис Lets's Encrypt по автоматической выдаче бесплатных сертификатов для TLS-шифрования. Google является платиновым спонсором этого сервиса.

Сегодня любой сайт может внедрить HTTPS без особых проблем (см. «Полное руководство по переходу с HTTP на HTTPS»). Более того, в наше время HTTPS практически обязателен для каждого веб-сайта: Chrome и Firefox уже сейчас помечают как небезопасные веб-сайты с формами на страницах без HTTPS. Отсутствие HTTPS влияет на позиции в поисковой выдаче и оказывает серьёзное влияние на приватность в целом.

А дальше сайтам HTTP станет ещё труднее жить. Разработчики браузера Chrome объявили, что с версии Chrome 68 в июле 2018 года начнут помечать как небезопасные не только страницы с формами, но абсолютно все страницы HTTP. Сообщение о небезопасности сайта пользователи увидят в адресной строке рядом с URL сайта (см. скриншот вверху).

Apple, Google, Amazon, Samsung — у каждой из этих компаний собственные стандарты и программы для управления «умными» устройствами собственной марки. В результате они зачастую могут общаться только со своими «родственниками» производства той же фирмы. Смарт-колонка Apple HomePod откажется делать резервную копию данных в облако Amazon или Google и не будет выполнять команды с Andrioid-смартфона. Получается, что для полной интеграции вся техника в доме должна быть от одной компании. Это явно ненормальная ситуация.

В прошлом году организация Mozilla объявила, что работает над созданием единого свободного фреймворка — программ и сервисов для Интернета вещей, работающих по открытому стандарту Web Things API, который использует JSON, REST и WebSockets API.

Фреймворк должен стать единым шлюзом для взаимодействия «умных» устройств разных производителей (Things Gateway). Сейчас организация официально объявила о запуске проекта Mozilla IoT, выложила стек программ и опубликовала руководство по построению системы «умного дома» с использованием Raspberry Pi. Заявка на стандартизацию Web Things API подана в консорциум W3C 2 февраля 2018 года.

Киберпреступность доставляет немало проблем обычным пользователям, но также и создаёт новые рабочие места. По прогнозу Cybersecurity Ventures, в ближайшие четыре года в секторе ИБ появится 3,5 млн новых рабочих мест (в 3,5 раза больше открытых вакансий, чем в настоящее время).

Отрасль ИБ переживает настоящий бум. Например, в США количество открытых вакансий в ИБ за 2015-2017 годы выросло с 209 тыс. до 350 тыс., то есть на 67%. Похожие процессы идут в России и других странах: информационная безопасность на подъёме. В 2017 году компании во всём мире потратили $86,4 млрд на ИБ (статистика Gartner).

Но у медали две стороны. Такая статистика вовсе не означает, что сети станут защищённее и безопаснее. Может и наоборот. Отрасль ИБ пытается защититься от новых и новых угроз. Количество хакеров, киберпреступлений, вредоносного ПО, шпионажа, взломов и утечек данных — всё это растёт гораздо быстрее, чем количество «защитников» из сектора ИБ. Не говоря уже о том, что техническая квалификация «чёрных» (black-hat) хакеров зачастую превышает квалификацию тех специалистов по ИБ, которые обучились компьютерной грамоте в университете. Хакеры творчески используют новые технологии и постоянно придумывают новые векторы атак.

С какими проблемами столкнутся специалисты по ИБ в ближайшее время? К чему готовиться?

В качестве антенны радиопередатчика используется шина между процессором и памятью

В информационной безопасности есть понятие «физической изоляции» (air gap), когда безопасная компьютерная сеть физически изолирована от небезопасных сетей: интернета и локальных сетей с низким уровнем безопасности. Это военные системы, командные центры, системы управления АЭС, медицинское оборудование и проч.

Но если кто-то инфицировал физически изолированный компьютер, а потом ему позарез нужно снять информацию — что делать? Здесь приходится выдумывать разные хитроумные и нестандартные способы. Например, превратить обычный ПК в генератор радиосигнала — и ловить этот сигнал радиоприёмником. Именно такую задачу выполняет утилита System Bus Radio, которая однажды упоминалась на GT. Хотя если честно, то вряд ли кто-то будет использовать её для шпионажа — это просто любопытная программка для развлечения. Она использует системную шину ПК или ноутбука как радиопередатчик для трансляции любых звуков на установленной радиочастоте.

За время, прошедшее с начала разработки, пользователи собрали обширную статистику, на радиоприёмниках какой модели и на какой частоте ловится сигнал. Кроме того, создан онлайновый модулятор, где вы можете сочинять музыку не выходя из браузера — и генерировать радиосигнал на частоте 1560 Гц нажатием одной кнопки Play Tune.

С 1 марта 2018 года Certification Authority/Browser Forum (CA/B Forum) вводит новые требования для всех Удостоверяющих Центров: максимальный срок действия всех типов SSL-сертификатов не должен превышать 825 дней (27 месяцев). 

Решение было принято на голосовании 193. Единогласно – за высказались 24 Центра Сертификации: GlobalSign, DigiCert, Entrust Datacard, Certum, Comodo, SymantecTurkTrust, Izenpe, Certinomis, Amazon, CNNIC, HARICA, GDCA, Disig, Trustwave, Let’s Encrypt, Quo Vadis, SHECA, CFCA, OATI, Buypass, Logius PKIoverheid, Cisco, SwissSign), а также 5 браузеров  – за: Apple, Qihoo 360, Microsoft, Opera, Google и 1 «воздержался» Mozilla

Данные меры будут направлены на повышение уровня безопасности при проверке организаций и доменов. Все Центры Сертификации обязаны следовать новому отраслевому стандарту. 

Следуя новым требованиям, с 26 февраля 2018 года, GlobalSign перестанет выпускать 3-летние доверенные сертификаты SSL. Начиная с указанной даты, SSL-сертификаты могут быть выпущены с максимальным сроком действия - 2 года.

До 26 февраля мы предлагаем приобрести SSL-сертификат на 3 года, что позволит вам: 

• избежать лишних хлопот с оформлением или продлением, увеличив интервал между заказами сертификатов;
• сэкономить деньги, приобретая SSL сразу на несколько лет.

Менее 10% аккаунтов используют двухфакторную аутентификацию, около 12% — менеджеры паролей

Прошло почти семь лет с того момента, как Google представила двухфакторную аутентификацию (2FA), но до сих пор практически никто не использует её.

На январской конференции по информационной безопасности Usenix's Enigma 2018 с презентацией выступил инженер-программист Google Гжегож Милка (Grzegorz Milka). Он опубликовал печальную статистику того, как обычные пользователи относятся к своей безопасности: менее чем на 10% активных аккаунтов Google используется 2FA и всего около 12% американцев используют менеджеры паролей (статистика Pew Research Center). Недавно эта тема обсуждалась на Geektimes.

Оставим за скобками то, что Google при активации 2FA требует обязательного указания номера телефона — это не устраивает тех, кто не готов делиться персональными данными с корпорацией. Вполне разумная позиция. Но большинство пользователей предпочитают игнорировать 2FA по другим причинам. Почему?

Раскрытие уязвимостей Meltdown и Spectre снова привлекло внимание к багам на аппаратном уровне. Многое сделано для улучшения (всё ещё слабой) безопасности нашего программного обеспечения, но всё напрасно, если оборудование даёт сбой. Процессоры в наших системах по-прежнему, в основном, проприетарные и уже преподнесли ряд неприятных сюрпризов (например, в движке Intel Management Engine). Поэтому встаёт естественный вопрос о переходе на железо open-source, как мы сделали с нашим программным обеспечением. Такой переход вполне возможен и даёт ряд преимуществ, хотя и не является панацеей.

Учитывая сложность современных процессоров и свирепый рынок, где они продаются, их разработка по принципам open-source может показаться необычной идеей. Но в этой области уже есть серьёзные инициативы; так что идея свободного дизайна CPU — не просто фантазия. Небольшое исследование темы выявляет несколько проектов; хотя дальнейший список явно не полон.