Google хоронит пароли, а Microsoft — нет. Напомню, в предыдущем выпуске я рассказал про светлое будущее в виде проекта Google Abacus — спорную, но весьма прогрессивную систему идентификации пользователя по его поведению (aka я помню все твои трещинки).
Почти одновременно к беседе о паролях присоединилась компания Microsoft, но выступила (новость), скажем так, с позиций традиционализма и ортодоксальности. Если конкретно, пост в блоге разработчиков Active Directory посвящен борьбе не со всеми паролями, а только с плохими.
Microsoft можно понять: она работает на рынке корпоративного ПО, а там инновации приживаются убийственно медленно (мимо дрожащих истерзанных рук; да что у меня сегодня такое с песенными ассоциациями?!). Очевидно, что с «абакусом» или без него с паролями мы будем иметь дело еще долго.
Вспомним прошедшую неделю: отказ от паролей, жизнь древних уязвимостей и прочее интересное — https://t.co/LXToYgViRr pic.twitter.com/gbF8ISzYbQ
— Kaspersky (@Kaspersky_ru) May 30, 2016
Так вот, по словам представителя Microsoft, типовые подходы к обеспечению стойкости паролей, такие как требования к длине пароля, наличию спецсимволов и регулярной замене, не работают. Более того, они упрощают задачу взлома: огражденные со всех сторон заборчиками политик, пользователи задают и обновляют свои пароли крайне предсказуемым образом. Если, например, поставить забор повыше (задать порог минимум в 10–15 символов), сотрудники начинают повторять одно и то же слово несколько раз подряд. Не ок.
Как многолетний офисный труженик «Ворда», не могу не согласиться. Браво! Но не уверен, что предлагаемое компанией решение порадует меня именно как сотрудника. Microsoft работает с огромным количеством учетных записей в куче пользовательских и корпоративных сервисов. И вот она решила использовать информацию о том, как эти записи пытаются взломать (10 миллионов атак в день!).
В результате мы получаем функцию Dynamically Banned Passwords. Будучи внедренной в корпоративном окружении, она не позволит сотруднику задать пароль, про который точно известно, что он (1) слаб и что (2) злодеи уже пытались (возможно, успешно) взломать такой же (или похожий) пароль где-то еще.
Так себе и представляю: подходит время ввода нового пароля — и начинается. Меньше 15 символов нельзя, без спецсимволов нельзя, несколько одинаковых цифр подряд нельзя. А теперь в некоторых случаях просто нельзя — и все тут! Плохой пароль, думай лучше, сетевой труженик! Креативнее! Ярче! Острее!
Как придумать и запомнить хорошие #пароли? Ответ ищите в нашем руководстве https://t.co/O661febHm3 pic.twitter.com/jdygDC0Ttv
— Kaspersky (@Kaspersky_ru) February 5, 2016
К счастью, такая функция пока доступна только клиентам облачного сервиса Azure, и то в виде ограниченного бета-теста. С точки зрения безопасника, это правильная идея: всех проблем она не решит, но теоретически может предотвратить сценарий, когда у сотрудника сначала ломают личную учетную запись где-либо, а потом заходят в сеть компании с тем же паролем. Для этого желательно не ограничиваться сбором экспертизы в пределах сервисов одной компании, пусть и большой. Но кооперация между игроками в индустрии ИБ — это совсем другая история.
Американский суд отказался принять в качестве доказательства данные, собранные благодаря взлому Tor
После завершения судебных баталий между Apple и ФБР тема инфобезопасности в контексте судебных разбирательств ушла на второй план, но ненадолго. Гораздо более длительный процесс по уголовному делу о хранении детской порнографии на этой неделе получил неожиданное развитие.
Впрочем, начнем сначала. 62-летний подозреваемый был арестован еще в прошлом году в Сиэтле. По мнению обвинения, он загружал детское порно с сайта Playpen, доступного только в Дарквебе, с использованием браузера Tor. В какой-то момент ФБР завладело серверами сайта и разместило на них эксплойт, позволявший выяснить реальный адрес компьютеров нескольких десятков пользователей. Остальное было делом техники.
Но в ходе судебного разбирательства что-то пошло не так. Адвокаты обвиняемого потребовали раскрыть техническую информацию об эксплойте (в терминах ФБР это называется «техника сетевого расследования», network investigative technique).
Firefox попросила правительство и ФБР раскрыть детали о найденной 0-day в браузере Tor: https://t.co/UDqJf727KK pic.twitter.com/265CpD4FCM
— Kaspersky (@Kaspersky_ru) May 16, 2016
Причину нашли оригинальную, но железобетонную: если речь идет о взломе компьютера (а как еще можно было раскрыть реальный IP?), то это означает удаленное управление компьютером без ведома владельца. А если так, то, может, он не сам качал криминал, а ему помогли? Нет, конечно, не ФБР (ни в коем случае), но взломанный компьютер вообще доступен всем с минимальным набором умений. А Дарквеб — такое место, там вообще опасно, знаете ли.
ФБР детали раскрывать отказалось, что вполне ожидаемо. Напомню, в деле Apple против ФБР общественность также не узнала, как именно взломали айфон террориста. Логично: если каждый раз рассказывать как, то взламывать устройства в следственных целях будет все сложнее и сложнее. И дело не в детской порнографии и конкретном подозреваемом: это судебное разбирательство — очередное в серии попыток определить, где заканчивается расследование и начинается кибервзлом.
Должны ли госструктуры делиться эксплойтами с разработчиками софта, чтобы те могли закрывать дыры? Ранее этот вопрос задали ФБР разработчики Mozilla, так как их код используется в Tor и есть вероятность, что уязвимость как раз на их стороне. И ей могут быть подвержены десятки миллионов ни в чем не повинных пользователей.
В результате получилась ситуация, обратная кейсу Apple/FBI: здесь у ФБР что-то требуют, а организация не хочет это что-то давать. Возможности надавить на ФБР у судьи, видимо, не было, поэтому было принято такое решение: если ФБР не раскрывает детали, то доказательства, собранные с помощью эксплойта, не принимаются.
Продолжаем следить за развитием событий.
Клиентов Amazon атакуют зараженным спамом с криптолокером внутри
Если где-то в недрах сетевой киберпреступности и есть план распространения криптолокеров, то его явно писал менеджер, а не технарь. С технической точки зрения трояны-шифровальщики остаются в массе своей довольно примитивными, а основная опасность кроется в методах распространения. Тут и торговые сети criminal-to-criminal, где можно получить кастомный шифровальщик за недорого, и «партнерские программы», ну и, конечно, грамотный копирайтинг в фишинге — главном способе проникновения на компьютер жертвы.
На этой неделе новость как раз про креатив. Исследователи компании Comodo зафиксировали широкомасштабную рассылку спама клиентам Amazon. Сообщение мимикрирует под стандартную рассылку интернет-магазина: «Ваш заказ был отправлен». Отправитель подделан, тело письма пустое, в аттаче — зараженный документ Microsoft Word. В общем, надо постараться, чтобы заразиться, но масштаб атаки и, увы, невнимательность пользователей гарантируют: жертвы будут. Выкуп у Locky составляет от $200 до $500. Про технические особенности этого троянца можно почитать тут.
Что еще произошло:
Уязвимость нулевого дня для Windows продают за $90 тысяч. В России тоже хотят торговать эксплойтами.
Хакеры якобы обнаружили 0-day уязвимость, позволяющую получить админ. права в Windows и просят за нее $90 тыс.: https://t.co/FGE8gp5IF2
— Kaspersky (@Kaspersky_ru) June 2, 2016
Две уязвимости в Google Chrome.
Аресты киберграбителей в России: новость и исследование экспертов «Лаборатории».
Древности:
Семейство «Advent»
Нерезидентные вирусы, зашифрованы, при запуске поражают .COM- и .EXE-файлы. .EXE-файлы поражаются стандартно, у .COM-файлов изменяют первые 23h байт начала на коды перехода на тело вируса.
Не активизируются, если в ENVIRONMENT присутствует строка «VIRUS=OFF» (для «Advent-2764») или «SYSLOCK=@» (для «Advent-3551»). «Advent-2764» начиная с середины ноября проявляется поздравлением «MERRY CHRISTMAS!» в комплекте с простенькими картинками, появляющимися под аккомпанемент не менее простенькой музыки. «Advent-3551» заменяет в секторах дисков строку «Microsoft» на «Macrosoft».
Цитата по книге «Компьютерные вирусы в MS-DOS» Евгения Касперского. 1992 год. Страницa 21.
Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.