Security Week 21: отказ от паролей, жизнь древних уязвимостей, вирус в сетевом оборудовании

    Авторизацию по паролю планируют окончательно похоронить. Не в первый раз, впрочем. Полтора года назад похороны начал Twitter, предложив вход через одноразовые коды на мобильный. Примерно такой же метод закапывания паролей частично применил Telegram, но кажется ничего хорошего из этого не вышло. Теперь пароли хоронит Google, и делает это инновационно, с огоньком, идентифицируя пользователя по «скорости набора символов, сэмплу голоса, расположению, манере ходьбы, чертам лица».

    Читал эту новость и не мог избавиться от дежа вю. Где-то это уже было… А!

    Tyrell: Is this to be an empathy test? Capillary dilation of the so-called blush response? Fluctuation of the pupil. Involuntary dilation of the iris…
    Deckard: We call it Voight-Kampff for short.

    Аааа! В фильме и книге люди тестами выявляли роботов, а тут роботы будут отличать людей друг от друга. Но принцип тот же! Будущее наступило. Билли, где моя электрическая овца? Светлое будущее кажется окончательно лишит нас прямого контроля над собственными устройствами, как уже лишило контроля над данными. Эта и другие инсинуации под катом.
    Все выпуски дайджеста – тут.

    В общих чертах проект Abacus был анонсирован Google на прошлогодней конференции Google I/O, а недавно на том же мероприятии объявили, что технология будет доступна для пользователей уже в конце этого года. Abacus основан на изучении упомянутых выше повадок (включаю голос Дроздова) пользователя для выставления некоего Trust Score. Как только поведение пользователя меняется, Trust Score резко падает, и в определенный момент устройство блокируется. Trust Score, кстати, планируется хранить непосредственно на устройстве, на серверы Google он передаваться не будет. Похожую позицию касательно сбора биометрических данных занимает Apple.

    Надо ли вообще хоронить пароли? Пожалуй да, уже пора. Все прошлая неделя практически полностью состояла из новостей про утечки паролей, пользователи по-прежнему защищают свои данные надежными комбинациями а-ля 123321, а компании регулярно эти пароли теряют. Менеджерами паролей пользуется на так много людей, как хотелось бы. Время пришло. Вообще пароли можно назвать представителями компьютерного олдскула: это такой же пережиток прошлого, как например полное доверие между компьютерами внутри одной локальной сети. Можно пойти еще дальше и отнести пароли к уходящей эпохе старого подхода к программированию электронных вычислительных машин.



    Недавно в Wired была опубликована статья как раз об этом. Программирование, как мы сейчас его понимаем, все целиком будет объявлено низкоуровневым, а кодеры будущего скорее займутся тренировкой своих самообучаемых машин с последующей репликацией результатов. Ну как с собаками. Можете называть это пришиванием белыми нитками, но я вижу явную связь между развитием темы машинного обучения и подходом Google к безопасности.

    У меня нет сомнений насчет перспективности проекта Abacus, но мы же в реальном мире живем, да? Поначалу все, что только можно, пойдет не так. Сомнения одного из комментаторов к новости на Threatpost вполне оправданы: а что если мое поведение поменяется в силу каких-то внешних причин, и меня ни за что отключат от моего же смартфона? Почему вообще компьютер должен решать такие вещи за меня? Шутка про алкогольный детектор в телефоне, который блокирует исходящие и чатик, кажется перестает быть шуткой. Дивный новый мир! Радует только то, что престиж тех, кто реально разбирается в подноготной всех этих умных систем, будет только расти. Одновременно со сложностью самих систем, конечно.

    Прошлогодняя уязвимость в Microsoft Office используется минимум шестью группировками для таргетированных атак
    Новость. Исследование.

    Эксперты «Лаборатории» опубликовали довольно необычное исследование, посвященное использованию серьезной уязвимости в Microsoft Office. Необычность заключается в том, что уязвимость была обнаружена и закрыта еще в сентябре прошлого года, и в быстро меняющемся ландшафте угроз это эквивалентно прошлому веку: обнаружили, запатчили, предусмотрели защиту, поехали дальше. Увы, на этапе накатывания патчей возникают проблемы. Во всех деталях показано, что уязвимых систем огромное количество, причем в инфраструктуре структур, крайне уязвимых перед таргетированными атаками.

    Уязвимость, закрытая апдейтом MS15-099, затрагивает версии Office c 2007 по 2013 и позволяет выполнить произвольный код, если заставить пользователя открыть подготовленное изображение в формате EPS. Летом прошлого года ситуация с этой дырой пошла по плохому сценарию: реальные атаки были обнаружены еще в августе, до выпуска патча. Как видно, и патч не сильно помог. В числе жертв — множество компаний и госструктур в Азии. Эксплойт использовался минимум шестью разными группировками, из них четыре действуют и поныне. Как обычно, все начинается с весьма правдоподобного фишингового письма.



    Письмо отправляется анонимно через open relay почтовый сервер, от «нужного» адресата с подготовленным аттачем. В другой атаке используется корпоративный сервер — то есть атака ведется уже с завоеванного плацдарма в инфраструктуре жертвы. Параллельно обнаруживаются связи между различными атаками, например одна из выявленных группировок похоже делит инфраструктуру с кампанией Adwind, нацеленной на финансовые организации в Сингапуре. Непропатченный Microsoft Office очень часто становится входными воротами для таргетированных атак, а с недавнего времени его стали использовать бьющие по площадям авторы криптолокеров (вот тут есть интересная новость про очередной хитрый метод заражения через макросы). Вывод из всего этого простой: не надо давать шанса атакующим использовать хотя бы известные и закрытые уязвимости. Патчить — хорошо.

    Вирус атакует сетевые устройства Ubiquiti
    Новость.

    Еще одна новость про пользу патчей. Исследователи из фирмы Immunity обнаружили довольно странный вирус, поражающий сетевые устройства Ubiquiti (например модели airMAX M, airMAX AC, ToughSwitch, airGateway и airFiber). Функциональность у него соответствует скорее примерам из «Древностей», чем современным зловредам: используя уязвимость в проприетарной AirOS он стирает конфиги и заменяет пользовательские юзернеймы на матерные слова. Понятно, что даже такие действия наносят ощутимый ущерб компаниям-владельцам, но последствия взлома сетевых маршрутизаторов и точек доступа могут быть гораздо страшнее.

    Проблема в том, что уязвимость затрагивает версии AirOS 5.6.2 и более ранние, и вообще-то была закрыта год назад. Не все смогли за это время обновить прошивки своих устройств. Почему я не удивлен? Пожалуй из всех потенциально уязвимых точек инфраструктуры сетевые устройства представляют наибольшую опасность в случае взлома: это по сути ключи от огороженного периметра. Представители вендора впрочем утверждают, что атакованных устройств было немного и предоставляют пострадавшим утилиту для приведения сетевой аппаратуры в чувство.

    Что еще произошло:
    TeslaCrypt — всё. Авторы одного из наиболее заметных криптолокеров извинились и опубликовали мастер-ключ для расшифровки данных.

    История со взломом финансовой сети SWIFT продолжается. Помимо центробанка Бангладеш пострадала финансовая организация в Эквадоре. Представители SWIFT, в свою очередь, перестали делать вид, что их это не касается, и начали делиться информацией об атаках, хотя и в закрытом виде.

    Обнаруженный совсем недавно зиродей в Adobe Flash уже взят на вооружение тремя эксплойт-паками.

    Древности:
    Семейство «Amz»

    Нерезидентные очень опасные вирусы, инфицируют .COM- и .EXE-файлы (либо только EXE — «Amz-600») при старте зараженного файла. Изменяют первые 13h байт COM-файлов на программу перехода на тело вируса. Содержат короткое слово: «AMZ». В зависимости от версии стирают сектора FAT либо всех логических дисков от A: до Z: (если таковые присутствуют), либо текущего диска при условиях:

    «Amz-600» — если номер дня недели совпадает с номером дня месяца;
    «Amz-789» — 24 сентября с 0:00 до 7:00 утра;
    «Amz-801» — 13-го февраля в 13 часов.

    Цитата по книге «Компьютерные вирусы в MS-DOS» Евгения Касперского. 1992 год. Страницa 23.

    Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.
    «Лаборатория Касперского»
    Ловим вирусы, исследуем угрозы, спасаем мир

    Комментарии 6

    • НЛО прилетело и опубликовало эту надпись здесь
        0
        Однако наверняка почту привязали к телефону, поэтому потеряв телефон, скорее всего вы сначала лишитесь почты. А затем Через неё же доступу к своим доменам, логинам на сайтах и в соцсетях. Поэтому не всё так просто )
        • НЛО прилетело и опубликовало эту надпись здесь
        0
        Пароли похоронил приват24)))
          0
          Похоронил?! Во-первых, для входа нужно таки пароль ввести. Во-вторых, для меня наоборот — ввожу пароль на телефоне и сканирую QR-код с экрана компьютера. Быстрее и надёжнее ОТР.
          Правда, П24 пускает так только на компьютерах, с которых я уже входил по паролю.
          0
          У меня нет сомнений насчет перспективности проекта Abacus, но мы же в реальном мире живем, да? Поначалу все, что только можно, пойдет не так. Сомнения одного из комментаторов к новости на Threatpost вполне оправданы: а что если мое поведение поменяется в силу каких-то внешних причин, и меня ни за что отключат от моего же смартфона?

          Это как раз сообразуется с одним известным философским утверждением о нетождественности личности самой себе, и представлении об индивиде, как о постоянно изменяющемся объекте, а не статичном наборе признаков. Так что технология рискует столкнуться на пространстве своего развития с наименее изученной областью — мозгом, а еще точнее — его индивидуальной изменчивостью.

          Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

          Самое читаемое