Объявляем неделю доисторических багов. Уязвимость в архиваторе WinRAR, обнаруженную и закрытую в конце января, подробно описали специалисты компании Check Point Software (новость, оригинальное исследование). В худшем случае брешь позволяет распаковать вредоносный файл в произвольное место на жестком диске, например в директорию автозапуска Windows.

Эта уязвимость заставляет задуматься по поводу использования труднопроверяемых сторонних библиотек в своем софте, но не только. Сегодня мы кратко расскажем о самой проблеме, о решении разработчиков WinRAR отказаться от библиотеки для распаковки архивов в формате ACE, а также поднимем тему обновления WinRAR на компьютерах пользователей. Забегая вперед: хотя новость и вызвала серьезный резонанс, это скорее история с хеппи-эндом. А вот на класс уязвимостей, связанных с обработкой любых прилетающих на ваш компьютер архивов, стоит обратить особое внимание.

Вы — эксперт в сфере мобильных разработок, лучший в команде. Но вам хочется развиваться дальше, и у вас есть совершенно конкретные вопросы, которые было бы круто обсудить с такими же шарящими в теме, без введений для новичков и обсуждения уже решенных проблем. Это про вас? Тогда мы рады пригласить вас на Kaspersky Mobile Talks — наш новый формат дискуссий для продвинутых разработчиков.



Это НЕ конференция и НЕ митап.

Новости о серьезных уязвимостях в софте и железе появляются каждую неделю. Только за последние семь дней сообщалось об эксплуатации XSS в социальной сети «Вконтакте», об устранении Zero-Day в Windows, а чуть раньше был закрыт баг в Android, позволяющий взламывать телефон подготовленной картинкой в формате PNG. Но мы довольно редко видим последствия эксплуатации этих уязвимостей: пострадавшие компании по понятным причинам не спешат делиться такой информацией. Еще реже можно наблюдать последствия атаки практически в прямом эфире, что на прошлой неделе произошло с почтовым сервисом VFEMail.

Этот сервис был основан в 2001 году жителем США, и с тех пор обслуживал частных клиентов (бесплатно предлагал всего 50 мегабайт места для писем) и организации на их собственных доменах. В 2015 году он упоминался наряду с сервисом защищенной почты ProtonMail как жертва вымогателей — владелец сервиса цитировал требование организаторов DDoS-атаки выплатить пять биткойнов. 11 февраля без предварительных угроз злоумышленники стерли информацию на всех основных и резервных серверах VFEMail, буквально за несколько часов уничтожив бизнес компании почти полностью.

В традиционную рубрику «что еще не так с IoT» на прошлой неделе добавилось научное исследование специалистов из американского Мичиганского университета и бразильского Федерального университета Пернамбуку. В рамках исследования было изучено 96 IoT-устройств для умного дома из списка самых продаваемых на площадке Amazon. Ученые проанализировали приложения для управления этими устройствами со смартфона, как вручную, так и с помощью автоматизированных инструментов анализа сетевых коммуникаций. Искали прежде всего уязвимости, позволяющие перехватить контроль над IoT-устройствами из-за недостаточно защищенного соединения.



Для 96 разных устройств удалось собрать 32 уникальных управляющих приложения. Из них половина либо не шифрует трафик при работе с IoT, либо использует фиксированные ключи шифрования. Соответственно, управлять устройствами может не только владелец, но и вообще кто угодно, с одной оговоркой — если есть доступ к локальной сети. Исследование в PDF находится здесь, краткое содержание на русском есть в этой новости. Мы же остановимся на наиболее интересных деталях работы.

Главным событием прошлой недели стал баг в операционной системе iOS 12 для мобильных устройств Apple. Функцию Group FaceTime, позволяющую организовать конференц-связь сразу с несколькими пользователями, можно использовать, чтобы подслушивать происходящее на стороне абонента без его ведома. Позже выяснилось, что Group FaceTime можно эксплуатировать и для подсматривания. Хотя практической пользы от данного метода немного, провал в защите данных налицо, и Apple временно отключила возможность создания групповых аудио- и видеозвонков.

Уязвимость в FaceTime очень похожа на десятки ранее обнаруженных и закрытых способов обойти блокировку экрана — во всех случаях прореха в безопасности образуется на стыке разных элементов iOS. Добавление групповых звонков в фирменный мессенджер Apple сначала также привело к очередному обходу локскрина. Еще в ноябре исследователь Хосе Родригес смог обойти блокировку так: звоним по FaceTime на телефон жертвы, отвечаем на звонок (это можно сделать без разблокирования), пытаемся добавить к разговору других абонентов, что дает доступ к телефонной книге. Проблема, обнаруженная в январе, оказалась гораздо серьезнее.

В конце ноября 2018 года офисные и домашние принтеры по всему миру распечатали сообщение, призывающее подписываться на ютубера PewDiePie. Произошло, это, естественно, без ведома владельцев принтеров, и скорее всего сам PewDiePie тут ни при чем. Взломщик, называющий себя TheHackerGiraffe, атаковал более 50 тысяч принтеров, настроенных так, что их службы печати (Internet Printing Protocol и Line Printer Daemon) были доступны из Интернета. Список уязвимых принтеров был собран с помощью специализированного поисковика Shodan.io, остальное было делом техники.

Атакой на принтеры история не закончилась: позднее были взломаны смарт-телевизоры, а недавно — веб-камеры Nest, с похожими ссылками на PewDiePie. Эта в целом бессмысленная затея привела к появлению уже чисто криминального сервиса по «принтерному партизанскому маркетингу». Поговорим об этих инцидентах подробнее, а заодно обсудим различия между нормальными исследователями по безопасности и такими вот IoT-вандалами.

Безусловно, самой главной новостью прошлой недели стала утечка «Коллекции #1» — базы данных, состоящей из 2,7 миллиардов пар «email: пароль», или 773 миллионов уникальных записей. Утечку уже подробно осветили и здесь на Хабре, и в блоге, пожалуй, самого известного коллекционера небезопасных паролей Троя Ханта. Не будем повторяться, лучше давайте поговорим о том, что делать-то?

Пароли уже давно признаны ненадежным средством защиты учетных записей в сети. С высокой вероятностью все ваши пароли десятилетней давности уже доступны злоумышленникам благодаря массе крупных и мелких утечек из Linkedin, Вконтакте, Twitter, Tumblr и MySpace и, конечно, Yahoo. Спойлер: какого-то простого решения проблемы нет, но есть набор действий, который поможет снизить риск взлома важных аккаунтов.

Ладно, может и не весь 2019 год, и вообще предсказания — штука сложная и неблагодарная. После громкого заголовка выскажемся точнее: важные новости начала января почти все так или иначе посвящены приватности. В 2018 году вопросы ценности данных, собираемых с клиентов сетевых сервисов, а также проблемы бесконтрольного использования этих данных впервые начали обсуждаться широко. Виной тому стал скандал с социальной сетью Facebook и массовым сбором данных пользователей соцсети даже не самим Фейсбуком, а какими-то непонятными левыми фирмами, с последующим широким применением, в том числе и на выборах.

Специалистам и тем, кто в теме, давно уже было понятно: интернет-гигантам известно про нас почти все. Где мы находимся, о чем мечтаем, сколько зарабатываем, чем болеем, сколько стоим в пробках, за кого голосуем на выборах, из чего на праздники был салат. Более широкое обсуждение темы и, возможно, более серьезное давление на компании, собирающие информацию, — это в целом неплохая штука. Она может привести к окончанию своеобразной эпохи Дикого Запада на рынке данных. Главное, чтобы в погоне за приватностью не пострадало качество сервисов, тоже зависящее от персональных данных пользователей.

Запомните этот пост, через 10 лет все будут говорить: вот, все правильно в дайджесте написали. Или наоборот: вообще не угадали, ни в одном месте. Предсказывать будущее — занятие, обреченное на провал, так как предсказание всегда основано на знаниях о настоящем и прошлом. Наступающий 2019 год описан в «Бегущем по лезвию бритвы» Филипа Дика, который-таки умел предвидеть. Согласно роману (и немного — фильму), мы все живем в неблагополучном мире, где постоянно идет дождь, есть летающие автомобили и роботы, но совсем нет животных.

Именно поэтому предсказания экспертов «Лаборатории Касперского» очень практичные, они скорее рассчитаны на безопасников, которым нужно определить тренды на следующий год. Но все же давайте попробуем выбрать события 2018 года, которые могут стать основой чего-то большего в информационной безопасности, актуального в течение долгого времени. При подготовке использовались материалы из этого блога за весь год, так что перед вами уникальный формат: дайджест дайджестов.

25 декабря с 19.00 до примерно 21 у нас в офисе пройдет пятая встреча специалистов по кибербезопасности АСУ ТП / RUSCADASEC. Всего запланировано три выступления.

Всего через неделю после выпуска большого релиза WordPress 5.0 разработчики самой популярной в мире CMS выпустили патч, закрывающий ряд серьезных уязвимостей (новость). Всего было закрыто семь брешей, самая серьезная в некоторых конфигурациях WordPress делает возможной индексацию поисковыми системами страницы активации нового пользователя. В URL страницы содержится ключ активации, из-за чего становится возможной утечка email-адресов пользователей, а в некоторых случаях — еще и паролей, сгенерированных автоматически.

Проблема была решена путем переноса идентификатора из URL в cookie. Уязвимость также затрагивает версию 4.х — для тех, кто по каким-то причинам не готов переходить на WordPress 5.0, выпущена версия 4.9.9. Еще три уязвимости класса XSS теоретически позволяют уже зарегистрированным пользователям WordPress повысить привилегии, в одном случае — благодаря редактированию комментариев администраторов. Также была закрыта уязвимость в PHP, позволяющая указать произвольный путь сохранения при загрузке файла. Подробнее о ней рассказывал исследователь Сэм Томас на конференции BlackHat (PDF). Чуть больше информации обо всех закрытых уязвимостях можно получить в блоге компании Wordfence.

В конце года «Лаборатория Касперского» выпускает традиционный набор отчетов, подводя итоги уходящего года и прогнозируя развитие киберугроз на следующий. Сегодня — краткая выжимка из документов, полные версии которых можно почитать по ссылкам:

• Важные события 2018 года
• Статистика за 2018 год
• Прогноз развития киберугроз в 2019 году

Выделим основные темы: эволюция целевых атак, появление новых APT-группировок с достаточно простым (но действенным) вредоносным арсеналом; использование IoT и для таргетированных атак, и для массовых; снижение количества атак с целью майнинга криптовалют вслед за падением обменного курса. Направления развития киберугроз: сложные для обнаружения атаки на «железо» с получением максимально широкого доступа, эволюция фишинга с применением персональных данных жертв, попытки скомпрометировать систему защиты мобильных устройств.

Прошедшая неделя отметилась двумя крупными утечками персональных данных пользователей. Компания Dell выявила вторжение в собственную сеть. Утекли адреса и имена клиентов, а также хешированные пароли, которые были принудительно сброшены для всех пользователей. Утечка в сети гостиниц Marriott оказалась масштабнее. Еще в 2014 году взломщики получили доступ к клиентской базе данных Starwood Hotels — эта сеть гостиниц была приобретена Marriott в 2016 году.

Несанкционированный доступ к базе клиентов был обнаружен только в сентябре этого года. По предварительным данным, пострадали 500 миллионов клиентов сети Starwood, а у 327 миллионов гостей утекли имена, адреса физические и электронные, номера телефонов и паспортов, даты бронирования и другая приватная информация. Это очень серьезная утечка, сравнимая с атакой на сервис Yahoo.

Всемирный праздник потребления под названием «Черная пятница», к счастью, закончился. Осталось выяснить, сэкономили ли вы деньги или все же потеряли. И этот вопрос имеет отношение не только к нужности и полезности приобретенных товаров. Иногда вместо покупки выходит утечка данных кредитной карты или учетной записи платежной системы, а затем и прямая кража денег в результате действий киберпреступников. Феномен массовых распродаж вызывает интерес и у тех, кто защищает платежи в онлайне, поэтому исследований по безопасности на прошлой неделе тоже было достаточно. Давайте посмотрим на самые интересные.

В сегодняшнем выпуске: атаки на пользователей с помощью вредоносных программ на персональных компьютерах и на мобильных телефонах. Атаки на интернет-магазины с последующей кражей данных кредиток. И просто поддельные веб-сайты, которые ничего не продают, но деньги от населения принимают. А начнем мы с исследованного «Лабораторией Касперского» Android-трояна Rotexy.

За прошедшую неделю подобралось сразу три новости о нетривиальных прорехах в безопасности. У нас в этом году уже был выпуск на эту тему, тогда мы изучали вывод из строя жестких дисков при помощи воплей звука и кражу личных данных через баг в CSS. Сегодня поговорим об особенностях распознавания отпечатков пальцев в Android-смартфонах, об атаке на GMail через одно место и убийство Skype с помощью эмодзи.

Начнем с отпечатков пальцев. Сканер отпечатков в смартфонах — одна из немногих фич современных устройств, которая реально делает жизнь удобнее. Она обеспечивает разумную защиту телефона от постороннего вмешательства и позволяет разблокировать устройство одним нажатием. С расположением сканера производители смартфонов пока не определились: в зависимости от модели он переезжает с передней панели на боковую, перемещается вокруг камеры, а Apple и вовсе выпилила свой сканер в пользу распознавания лиц. Китайские исследователи из компании Tencent обнаружили уязвимость в самом свежем варианте сканера отпечатков, который располагается прямо под дисплеем.

Рано или поздно это происходит: вы открываете на мобильном телефоне YouTube, но вместо пачки видеороликов получаете предложение срочно обновиться. Или наконец-то находите время поиграть в Playstation, но тут как раз прилетели апдейты, вы их полчаса качаете и устанавливаете, потом выключаете приставку. Или заходите в админку WordPress, чтобы написать гениальный пост, но пора обновлять и сам WordPress, и плагины.

Сегодняшний выпуск — про апдейты операционной системы Android, патчи для двух плагинов в WordPress, короче, про то, чем придется заняться, если у вас есть смартфон или сайт. Апдейты для плагинов Wordpress интересны тем, что показывают, что будет, если все же не потратить время на обновление кода.

Пришло время исправить трехнедельную ошибку в нумерации дайджестов, заложенную в самом начале этого года. Поэтому сегодняшний выпуск — немного високосный, и посвящен он уязвимостям, затрагивающим интерфейс беспроводной связи Bluetooth. За последний год отмечено три значимых исследования этой темы, но даже самая широкомасштабная серия уязвимостей BlueBorne не вызвала такого резонанса, как, скажем, уязвимости HeartBleed.

В совокупности эти исследования представляют особый интерес, так как речь идет о неожиданном векторе атаки, который в ряде случаев позволяет полностью обойти защиту локальной сети предприятия или системы безопасности клиентского устройства. Достаточно приблизиться к устройствам на относительно небольшое расстояние или же иметь хорошую антенну. Наиболее интересна в этом контексте самая свежая уязвимость, обнаруженная в оборудованных Bluetooth беспроводных точках доступа.

Единственный способ защититься от новейших угроз — быть на шаг впереди злоумышленников. Поэтому мы объявляем Kaspersky Start Russia — конкурс для борцов с угрозами будущего. Мы предлагаем вам проанализировать, какие угрозы могут появиться в мире в ближайшие пять лет и придумать способы защиты от них. Мы ищем визионеров с опытом работы в IT-индустрии, готовых развивать и воплощать проекты будущего.



У вас есть перспективные идеи, но не хватает ресурсов, чтобы реализовать их? Тогда самое время подать заявку: лучшие из лучших получат не только денежный приз, но и шанс запустить свой проект на базе Инкубатора «Лаборатории Касперского».

Вот уж чего в индустрии информационной безопасности достаточно, так это драмы. Новейшие средства взлома, грандиозные провалы в системах защиты программ и железок — или же полнейшее отсутствие этих самых систем. Ежедневная рутина спама с вредоносными довесками и фишингом, шифровальщики и прочая ерунда — эти не так интересны, как сложнейшие кибератаки, но с ними приходится иметь дело чаще всего.

Выяснить, что к вашему роутеру не подходит пароль — это примерно как обнаружить сломанный замок во входной двери. И все же, хотя к киберугрозам и стоит относиться серьезно, реальная работа над безопасностью начинается в тот момент, когда все перестали махать руками и говорить непечатные слова и занялись делом. Обновили роутер, провели с сотрудниками тренинг на тему фишинга, установили защиту от шифровальщиков. Даже в момент, когда с ИБ все плохо, есть смысл представить, как должно быть хорошо, и не торопясь двигаться в сторону прекрасного будущего. Сегодня — дайджест хороших новостей: Google починила безопасность Android, Cisco починила Webex, Wordpress починил Wordpress.

На прошлой неделе разработчики CMS Drupal закрыли (новость, подробнее у них на сайте) сразу две критические уязвимости. Обе проблемы затрагивают Drupal версий 7.x и 8.x. Наиболее серьезная уязвимость была обнаружена во встроенной системе отправки e-mail (DefaultMailSystem::mail()). Можно задействовать ее таким образом, что при обработке сообщения появляется возможность выполнения произвольного кода. Виной тому, как обычно, отсутствие должной проверки ряда переменных.

Вторая уязвимость обнаружена в модуле Contextual Links — он позволяет модифицировать элементы веб-страниц без перехода в панель управления. Отсутствие проверки параметров, передаваемых при выполнении такого запроса, также может привести к выполнению кода. Правда, в отличие от первой уязвимости, эта эксплуатируется, только если атакующий уже имеет права на редактирование сайта.

Такие новости обычно не попадают в дайджест: ну нашли, ну закрыли, молодцы! Но как минимум раз в год стоит посмотреть на самые популярные системы управления сайтом и понять в перспективе, как там обстоят дела с безопасностью. Есть ли фрагментация версий CMS, похожая, например, на фрагментацию платформы Android? Так ли все плохо с безопасностью, как, например, в индустрии тех IoT-устройств, которые вроде и вовсе не IoT-устройства, а роутеры и камеры? Давайте посмотрим.