Security Week 22: Microsoft против паролей, судебные неувязки с Tor, криптолокер атакует клиентов Amazon

    Google хоронит пароли, а Microsoft — нет. Напомню, в предыдущем выпуске я рассказал про светлое будущее в виде проекта Google Abacus — спорную, но весьма прогрессивную систему идентификации пользователя по его поведению (aka я помню все твои трещинки). Почти одновременно к беседе о паролях присоединилась компания Microsoft, но выступила (новость), скажем так, с позиций традиционализма и ортодоксальности. Конкретно, пост в блоге разработчиков Active Directory посвящен борьбе не со всеми паролями, а только с плохими.

    Microsoft можно понять: она работает на рынке корпоративного ПО, а там инновации приживаются убийственно медленно (мимо дрожащих истерзанных рук; да что у меня сегодня такое с песенными ассоциациями?!). Очевидно, что с абакусом или без него, с паролями мы будем иметь дело еще долго. Так вот, по словам представителя Microsoft, типовые подходы к обеспечению стойкости паролей, такие как требования к длине пароля, наличию спецсимволов и регулярной замене — не работают. Более того, они упрощают задачу взлома: огражденные со всех сторон заборчиками политик, пользователи задают и обновляют свои пароли крайне предсказуемым образом. Если, например, поставить забор повыше (задать порог минимум в 10-15 символов), сотрудники начинают повторять одно и то же слово несколько раз подряд. Не ок.

    Как многолетний офисный труженик Ворда, не могу не согласиться. Браво! Но не уверен, что предлагаемое компанией решение порадует меня именно как сотрудника. Microsoft работает с огромным количеством учетных записей в куче пользовательских и корпоративных сервисов, и решила использовать информацию о том, как эти записи пытаются взломать (10 миллионов атак в день!). В результате мы получаем функцию Dynamically Banned Passwords. Будучи внедренной в корпоративном окружении, эта фича не позволит сотруднику задать пароль, про который точно известно, что он (1) слаб и что (2) злодеи уже пытались (возможно успешно) взломать такой же (или похожий) пароль где-то еще.

    Так себе и представляю: подходит время ввода нового пароля, и начинается. Меньше 15 символов нельзя, без спецсимволов нельзя, несколько одинаковых цифр подряд нельзя. А теперь в некоторых случаях просто нельзя и все тут! Плохой пароль, думай лучше, сетевой труженик! Креативнее! Ярче! Острее! К счастью, такая функция пока доступна только клиентам облачного сервиса Azure, и то в виде ограниченного бета-теста. С точки зрения безопасника это правильная идея: всех проблем она не решит, но теоретически может предотвратить сценарий, когда у сотрудника сначала ломают личную учетную запись где-либо, а потом заходят в сеть компании с тем же паролем. Для этого желательно не ограничиваться сбором экспертизы в пределах сервисов одной компании, пусть и большой. Но кооперация между игроками в индустрии ИБ — это совсем другая история.

    Американский суд отказался принять в качестве доказательства данные, собранные благодаря взлому Tor
    Новость.

    После завершения судебных баталий между Apple и ФБР тема инфобезопасности в контексте судебных разбирательств ушла на второй план, но ненадолго. Гораздо более длительный процесс по уголовному делу о хранении детской порнографии на этой неделе получил неожиданное развитие. Впрочем, начнем с начала. 62-х летний подозреваемый был арестован еще в прошлом году в Сиэттле. По мнению обвинения, он загружал детское порно с сайта Playpen, доступного только в дарквебе, с использованием браузера Tor. В какой-то момент ФБР завладело серверами сайта и разместило на них эксплойт, позволявший выяснить реальный адрес компьютеров нескольких десятков пользователей. Остальное было делом техники.

    Но в ходе судебного разбирательства что-то пошло не так. Адвокаты обвиняемого потребовали раскрыть техническую информацию об эксплойте (в терминах ФБР это называется «техника сетевого расследования», network investigative technique). Причину нашли оригинальную, но железобетонную: если речь идет о взломе компьютера (а как еще можно было раскрыть реальный IP?), то это означает удаленное управление компьютером без ведома владельца. А если так, то может он не сам качал криминал, а ему помогли? Нет, конечно не ФБР (ни в коем случае), но взломанный компьютер вообще доступен всем с минимальным набором умений. А дарквеб — такое место, там вообще опасно, знаете ли.

    ФБР детали раскрывать отказалось, что вполне ожидаемо. Напомню, в деле Apple против ФБР общественность также не узнала, как именно взломали айфон террориста. Логично: если каждый раз рассказывать как, то взламывать устройства в следственных целях будет все сложнее и сложнее. И дело не в детской порнографии и конкретном подозреваемом: судебное разбирательство — очередное в серии попыток определить где заканчивается расследование и начинается кибервзлом. Должны ли госструктуры делиться эксплойтами с разработчиками софта, чтобы те могли закрывать дыры? Ранее этот вопрос задали ФБР разработчики Mozilla, так как их код используется в Tor, и есть вероятность, что уязвимость как раз на их стороне. И ей могут быть подвержены десятки миллионов ни в чем не повинных пользователей.

    В результате получилась ситуация, обратная кейсу Apple/FBI: здесь у ФБР что-то требуют, а организация не хочет это что-то давать. Возможности надавить на ФБР у судьи видимо не было, поэтому было принято такое решение: если ФБР не раскрывает детали, то доказательства, собранные с помощью эксплойта, не принимаются.



    Продолжаем следить за развитием событий.

    Клиенты Amazon атакуются зараженным спамом с криптолокером внутри
    Новость.

    Если где-то в недрах сетевой киберпреступности и есть план распространения криптолокеров, то его явно писал менеджер, а не технарь. С технической точки зрения трояны-шифровальщики остаются в массе своей довольно примитивными, а основная опасность кроется в методах распространения. Тут и criminal-to-criminal торговые сети, где можно получить кастомный шифровальщик занедорого, и «партнерские программы», ну и конечно грамотный копирайтинг в фишинге — главном способе проникновения на компьютер жертвы.



    На этой неделе новость про креатив. Исследователи компании Comodo зафиксировали широкомасштабную рассылку спама клиентам Amazon. Сообщение мимикрирует под стандартную рассылку интернет-магазина: «ваш заказ был отправлен». Отправитель подделан, тело письма пустое, в аттаче — зараженный документ Microsoft Word. В общем, надо постараться, чтобы заразиться, но масштаб атаки и, увы, невнимательность пользователей, гарантируют — жертвы будут. Выкуп у Locky составляет от 200 до 500 долларов. Про технические особенности троянца можно почитать тут.

    Что еще произошло:
    Зиро-дей для Windows продают за 90 тысяч долларов. В России тоже хотят торговать эксплойтами.

    Две уязвимости в Google Chrome.

    Аресты киберграбителей в России: новость и исследование экспертов «Лаборатории».

    Древности:
    Семейство «Advent»

    Нерезидентные вирусы, зашифрованы, при запуске поражают .COM- и .EXE-файлы. .EXE-файлы поражаются стандартно, у .COM-файлов изменяют первые 23h байт начала на коды перехода на тело вируса.

    Не активизируются, если в ENVIRONMENT присутствует строка «VIRUS=OFF» (для «Advent-2764») или «SYSLOCK=@» (для «Advent-3551»). «Advent-2764» начиная с середины ноября проявляется поздравлением «MERRY CHRISTMAS!» в комплекте с простенькими картинками, появляющимися под аккомпанемент не менее простенькой музыки. «Advent-3551» заменяет в секторах дисков строку «Microsoft» на «Macrosoft».

    Цитата по книге «Компьютерные вирусы в MS-DOS» Евгения Касперского. 1992 год. Страницa 21.

    Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.
    «Лаборатория Касперского»
    345,58
    Ловим вирусы, исследуем угрозы, спасаем мир
    Поддержать автора
    Поделиться публикацией

    Комментарии 10

      +1
      >Так себе и представляю: подходит время ввода нового пароля, и начинается. Меньше 15 символов нельзя, без спецсимволов нельзя…

      Закончится все скорее всего более печально, чем короткие пароли…
      Навскидку:

      1. пароли на стикерах / в текстовых файлах на рабочем столе / в блокноте в верхнем ящике стола /…

      2. Один логин/пароль на все сервисы

      3. Постоянное «забыл пароль»…

      А самое смешное, когда какой-нибудь левый форум, на который вы зашли через поиск хочет за показ картинок/вложений на форуме регистрацию. И секьюрный пароль…
        0
        А самое смешное, когда какой-нибудь левый форум, на который вы зашли через поиск хочет за показ картинок/вложений на форуме регистрацию.

        Отчасти спасают сервисы, подобные BugMeNot.
          –1
          лет 5 назад на БашОрге народ пробовал создать систему.
          «зашел на сервис — создай пасс баш с логином баш» (сейчас уже не помню точные)
          Буквально через пару мес. они оказались на многих сервисах или в запрете создания или в бане…

          А так — локальные хранилки паролей рулят (естественно надо делать бэкапы, причем тщательно шифрованные)

          Так что реально «один секьюрный пароль на всё», да еще не заставляет себя менять постоянно создать можно.

          Но все равно, система, когда ради одного-двух комментов или просмотра картинки/вложения вас просят поделиться е-мейлом — это не самое лучшее.
          Помню был сайт митцубиси-клуб. У них еще веселее было, надо было создать не менее 5 постов для просмотра картинок в разделе юмора!
          Закономерно что сайт дважды загнулся. 1й раз года 3-4 назад, потом вроде реинкарнация была, на почту приходили приглашения возвращаться, сейчас вроде снова сдох. Т.к. на настолько долбанутый сайт идти повторно было лень.
          0
          Как обычный ленивый юзер могу сказать про требуемую от пользователя сложность пароля так: один пароль на все сервисы — единственное, что приходит в голову. Это реально удобно.

          Вначале я со всем вниманием вчитывался в предупреждающие надписи о важности уникальных паролей. И даже создавал их, ВотТакИе0_УнИк@льНыЕ_2П@ролИ. Естественно, я их запомнить не мог, поэтому записывал все в блокнот, который вечно лежал «под рукой» — на полке стола.
          Потом мне это надоело, и я начал задавать везде одинаковые пароли. Везде-везде.
          Потом понял, что аккаунт на некоторых сайтах не имеет ценности, и взламывать его никто не будет. Так у меня появилась двухуровневая система паролей: для того, что потерять не страшно и для того, что не хотелось бы потерять.
          Такие дела.
            0
            >. Так у меня появилась двухуровневая система паролей: для того, что потерять не страшно и для того, что не хотелось бы потерять.

            Уже более 5 лет система паролей примерно 3+ уровневая… (часть между 1 и 2)
            1. пароли от учетки AD на работе, на менеджер паролей/архивы/почту/скайп/аську/… — что потерять очень не хочется. Их не очень много, часть помню (до 16 симв, больш+малые+цифры)
            Иногда меняю(обычно сразу много или все).
            В зависимости от того, где используется примерно половина записаны или дома или на работе на бумаге или не записаны совсем нигде…

            2. Пароли из менеджера/стикера/текстового файла. Сгенерены хранилкой (с исправлением пары симв.) или собраны из случ. символов. Потерять жалко, но почти не замечу — большинство форумов, несколько одноразовых (создавал ради связи с конкретным человеком, потом использовал редко) мессенджеров, некоторые архивы, вход в учетки тестовых пользователей,…
            Не помню ни один. Почти никогда не меняю.

            3. Пароли от ресурсов, где они были заведены ради «посмотреть картинку фуллсайз/...» и тп
            Обычно хранятся на рабочем столе в текстовике. Хранятся в памяти браузера…
            Бэкапы не делаю никогда. Потеряется и фик с ним — еще заведется. Или через почту реснется (почта под такой мусор естественно отдельная, но на ней очень нормальный пароль из 2й группы.)

            Для себя решил что категорий паролей много, подмножества пересекаются.

            есть пароли которые:

            -помнишь/не помнишь,
            -меняешь/не меняешь,
            -делаешь 3+ бэкапа/не делаешь(1 экз на бумажке или в файле)/не записываешь вообще (хотя тут иногда есть вариант сменить попросив, например, админа AD или реснув через почту, но не всегда...)

            -ценные/не ценные (страшна скорее утеря, чем взлом)
            -ценные/не ценные (страшна и утеря, и взлом)

            А еще есть отдельная папка с мёртвыми логинами/паролями.
            От ресурсов, которых больше нет или на которые уже забил.
            Не знаю почему никак не удалю…
            0
            Ха! у нас в конторе так и было. Смена пароля каждые 30 дней.
            Через месяца три-четыре я поинтересовался у админов, позвонив по поводу сброса пароля, запаслись ли они успокоительным, обрадовав что из 15 человек в отделе, уже никто не способен вести пароль с первой попытки.
            Да… даже листки уже не спасали.
            В результате, там нервно прокашлялись, сказали «спасибо. подумаем» и сняли требование смены пароля.
            0
            AD не хранит пароли, поэтому скорее всего будет обновляться некая база хешей взломанных паролей, так что чтобы сделать удобно надо просто предлохить пользователю генератор, но такой что при генерации он сразу сам проверял хеш сегнеренного пароля с базой и только при отсутствии совпадения предлагал случайный пароль пользователю.
            • НЛО прилетело и опубликовало эту надпись здесь
                0
                >Кстати, в корпоративной среде используем именно продукты Лаборатории Касперского
                Ну не везде и не всегда, но по тестам для российских реалий он похоже пока лучший…

                Минус — способен «положить» даже очень быстрый комп во время проверок и обновлений…
                По моему опыту добавляют новый вирус в течении пары суток (отсылал им на почту)

                Др-Веб давно уже отстал, а о Ноде у меня кроме мата слов нет.
                Последний что бы не тормозить комп последний раз (когда был установлен) проверял файлы по ускоренному алгоритму, «а то комп тормозит, пользователь недоволен будет» (такой ответ был от саппорта вроде, сейчас не вспомню).
                А то, что пользователь получит кучу вирей — это мелочи.
                  0
                  >> По моему опыту добавляют новый вирус в течении пары суток (отсылал им на почту)

                  Несколько лет назад занимало часы (у них в базе есть штук 5-10 «моих» вирусов, т.е. которые отловил у пользователей в первых рядах вручную), последние года 3, наверное, отсылаю им, пара дней и тишина, робот ответил «принят в обработку» и всё, потом отсылаешь снова — «вирус уже есть в базе» через день. И не понятно смотрели-ли. У веба и Майкрософт (секьюрити ессеншиалс) добавка происходит быстро, письма приходят понятные и точные. Каспер портится на глазах (а ведь были времена, когд ЕК отвечал в ru.avp и лично на письмо про WIN-CIH, скачанный с ftp Realtek'а).
                  PS. Тут подумал — а ведь уже давно никому ничего не отсылал, вот что значит сменить компанию и перестать заниматься несвойственными функциями типа ловли блох.
                  PPS. При этом дома стоит KAV, т.к. всё ещё считаю лучшим по сравнению с веб и с сильным отрывом от всяких NAV, о которых воспоинания не очень…

              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

              Самое читаемое