История о споре между Apple и ФБР показала нам, как политика может повлиять на технологии. На этой неделе все обсуждают обратный пример — тему об утечке данных из панамской юридической фирмы Mossack Fonseca.
Не касаясь политической стороны этого события, не могу не отметить важный момент: резонансная история, скорее всего, началась с кибератаки и кражи данных. Об этом говорят в самой компании, и есть косвенные доказательства того, что взломать инфраструктуру фирмы было не так уж сложно. В частности, внешний доступ к документам клиентов работал на версии Drupal трехлетней давности как минимум с двумя критическими уязвимостями (впрочем, достаточно было одной — этой).
Как все произошло на самом деле, мы вряд ли когда-нибудь узнаем. В индустрии ИБ вообще очень сложно учиться на чужих ошибках: делиться негативным опытом компании, по понятным причинам, не любят. Но можно сделать общие выводы, а именно:
- Не бывает неважных корпоративных данных. Не исключено, что в Mossack Fonseca даже не подозревали, какой резонанс могут вызвать хранящиеся у них документы. Это приводит к недооценке рисков и неадекватным затратам на защиту.
- Шифрование данных — это эффективная мера. Об этом говорит иная часть данной истории: десятки журналистов по всему миру анализировали полученные документы больше года, используя облачные системы и различные формы передачи данных в зашифрованном виде (начиная с VeraCrypt, форка TrueCrypt для шифрования жестких дисков). За это время не произошло ни одной утечки, несмотря на огромное количество участников проекта и отсутствие серьезных обязательств между ними.
- Объем утечки превышает 2,5 терабайта. Нужна система, которая поможет компаниям фиксировать такие события. Не важно, по какой причине с серверов компании утекает огромный объем данных, — специалист по безопасности должен об этом знать.
С понедельничком. Начнем с повторения пройденного: самое интересное за семь предыдущих дней https://t.co/x9e4TGxUYO pic.twitter.com/qbnQJMj5fh
— Kaspersky (@Kaspersky_ru) April 4, 2016
А теперь перейдем к традиционным новостям. Все выпуски дайджеста доступны по тегу.
Adobe закрывает критическую уязвимость во Flash, которая уже используется для распространения криптолокеров
Очередных, внеочередных и прочих патчей для Adobe Flash за последнее время было так много, что очередной апдейт вряд ли удостоился бы внимания, если бы не активное использование критической уязвимости. До того как апдейт был выпущен. Не так уж часто киберпреступники получают информацию о свежих уязвимостях до того, как они закрываются. Это им, впрочем, не мешает заражать пользователей незащищенных ПК и после патча, так как не всегда и не везде софт обновляется вовремя.
Как выяснилось в четверг, критическая уязвимость Adobe Flash затрагивала версии для всех платформ, вызывала сбой в работе плагина и могла привести к выполнению произвольного кода. Уязвимость использовали в эксплойт-паках Magnitude и Nuclear для распространения криптолокеров Cerber и Locky.
Вот, собственно, история о том, как хитроумный шифровальщик «Локи» грабит госпитали США https://t.co/wIzoPXfoP7 pic.twitter.com/KoItp73yOM
— Kaspersky (@Kaspersky_ru) March 25, 2016
Locky — это тот самый троян-шифровальщик, который недавно наделал шума после инцидента с заражением медицинских учреждений. Уверен, что данное событие послужит еще одним аргументом в пользу полного и окончательного отказа от Flash — ведь получается, что, даже устанавливая самые последние апдейты, нельзя быть уверенным в безопасности системы.
Много подробностей про Locky — кругосветный шифровальщик, отметившийся в 114 странах мира: https://t.co/HCGL98zbwB pic.twitter.com/EwQ9bFztR6
— Kaspersky (@Kaspersky_ru) April 6, 2016
Но оказывается, что своевременный апдейт все же помогает и в этом случае. Проанализировав эксплойт-пак, эксперт компании Proofpoint заметил, что он таргетирует пользователей совсем старых версий Flash. Новый эксплойт, который какое-то время (минимум три дня до патча) мог успешно атаковать даже самые свежие релизы плагина, почему-то использовался только для устаревших версий. Судя по всему, создатели эксплойт-пака не до конца поняли, что именно попало им в руки.
WhatsApp внедрил сквозное шифрование сообщений для всех пользователей
Новость. Пост в блоге WhatsApp.
Создатели мессенджера WhatsApp в последней версии клиента для всех мобильных платформ включили полное сквозное шифрование сообщений. Причем это касается всех видов передаваемых данных: в личных и групповых чатах, текст и картинки, для голосовых сообщений и звонков. Для шифрования используется открытый протокол Signal.
Если шифрование реализовано корректно и оно действительно сквозное, то по идее прочитать сообщения можете только вы и ваш собеседник (или собеседники). Именно это в WhatsApp и обещают. Именно поэтому данное событие называют куда более важным, чем спор между Apple и ФБР: сотни миллионов пользователей на этой неделе получили бесплатный, надежный и защищенный канал связи.
Или нет? Мы собрали комментарии экспертов в этой новости. В частности, протокол может быть идеальным, но в конечном счете за реальную защиту данных отвечает владелец системы, то есть в данном случае Facebook. По мнению независимого эксперта Джонатана Здярски, приватность и сам Facebook — вещи малосовместимые. Уверен, что так думает не только он.
Более аргументированный довод: даже если сообщения будет невозможно расшифровать, метаданные (IP-адреса и другая информация) все равно раскрывают слишком многое, чтобы можно было говорить о полной приватности или анонимности. Наконец, зашифрованная передача данных не отменяет уязвимости информации на конечном устройстве.
Главная новость недели! В WhatsApp наконец-то появилось серьезное шифрование: https://t.co/9FCYfyNvsm pic.twitter.com/M9Ys0IhJzg
— Kaspersky (@Kaspersky_ru) April 6, 2016
Впрочем, это мы уже проходили недавно — с кейсом о взломе телефона Apple. Уверен, довольно скоро дебаты на тему конфликта между приватностью и необходимостью отслеживать коммуникации, — конечно же, с благой целью (но и не только) — будут продолжены. И обсуждать на них будут как устройства, так и протоколы и сети: две ключевые точки перехвата информации.
Про абсолютную приватность недавно высказался глава ФБР — читайте в этой новости. Если коротко, то он против.
Эксперты считают, что шифрование в WhatsApp — это, конечно, хорошо, но не панацея: https://t.co/hjts4ugukx pic.twitter.com/wVnSbmSXd1
— Kaspersky (@Kaspersky_ru) April 8, 2016
Пентагон открывает собственную программу Bug Bounty — Hack The Pentagon
Как взломать Пентагон и получить за это деньги. ОК, не совсем так. Программы Bug Bounty прежде всего направлены на то, чтобы формализовать общение между исследователями и вендорами, дать возможность первым получать вознаграждение за свою работу, а вторым — своевременную информацию об уязвимостях в софте, железе или инфраструктуре.
За последние полгода мы не раз обсуждали примеры, когда в этом общении что-то идет не так: и уязвимости раскрываются до появления патчей, и вендоры пытаются наезжать на исследователей. Тем не менее организация собственной программы мало того что у госструктуры, так еще и у военного ведомства — это серьезный прогресс и весьма позитивная новость.
Программа реализована на платформе компании HackerOne, предоставляющей инфраструктуру для работы с исследователями. Впрочем, прогресс прогрессом, но без особенностей не обошлось. Предъявлять определенные требования к найденным уязвимостям — это вполне нормально, но Пентагон довольно серьезно фильтрует и самих исследователей. Нужно иметь гражданство США, а особым счастливчикам еще придется пройти security check, включая проверку на наличие судимостей. Отказаться от проверки можно, но и премию тогда не выплатят, даже если исследование будет соответствовать всем правилам.
Что еще произошло:
На Филиппинах украли базу данных избирателей, 55 миллионов записей.
ФБР в рамках судебного разбирательства попросили рассказать, как именно они взламывают коммуникации в сети Tor. ФБР вежливо ответило отказом.
Опасная уязвимость в сетевых экранах Cisco.
Древности:
Семейство «Protect»
Опасные резидентные вирусы, стандартно поражают COM- и EXE-файлы при их запуске на выполнение. Перехватывают int 21h и int 1Ch или int 33h в зависимости от версии. Содержат текст: «File protection». «Protect-1157» снимает атрибуты файлов и блокирует работу мыши. «Protect-1355» проявляется на EGA- и VGA-мониторах мелким и очень противным дрожанием экрана.
Цитата по книге «Компьютерные вирусы в MS-DOS» Евгения Касперского. 1992 год. Страницa 44.
Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.