Security Week 49: б/у сертификаты, кража данных из детских игрушек, Microsoft блокирует нежелательное ПО

В новом выпуске дайджеста о кибербезопасности от «Лаборатории Касперского» Константин Гончаров рассказывает о как бы спокойной неделе – такие, как оказалось, выдаются очень редко и на самом деле все равно спокойными не являются

Security Week 49

На этой неделе ничего не произошло. Ну как, поток новостей о безопасности в IT был обычный — тут взломали, там уязвимость, здесь патч, — но без каких-либо серьезных откровений. Когда я только начинал вести еженедельный дайджест, мне казалось, что таких недель будет немало, но пока, с августа, получилось всего две: нынешняя и еще одна. Но вы посмотрите, из чего состоит этот якобы вакуум:

— У производителя игрушек украли данные миллионов клиентов, кучу личной информации о детях — владельцах «умных» устройств с камерами и прочим.
— Тысячи модемов, роутеров и подобных устройств у многих производителей используют одинаковые сертификаты и ключи для доступа по SSH.
— В США бурно обсуждают запросы ФБР в стиле «дайте нам данные и никому не рассказывайте об этом», детали которых впервые были обнародованы с 2001 года, когда такую практику ввели.

Нормальное такое «ничего», хотя да, никаких супервзломов не было, ничего капитально не упало — и то хорошо. Впрочем, наши эксперты, подводя итоги года по самым громким событиям инфобезопасности, никакого снижения активности не видят, скорее наоборот. Ну и мы не будем расслабляться, зима близко. Традиционные правила: каждую неделю редакция новостного сайта Threatpost выбирает три наиболее значимые новости, к которым я добавляю расширенный и беспощадный комментарий. Все эпизоды сериала можно найти по тегу.

Тысячи модемов, роутеров и других сетевых устройств используют одинаковые ключи и сертификаты

Новость. Оригинальное исследование.

ОК, в любой другой новости о взломе роутеров тоже можно написать про тысячи устройств, а то и про сотни тысяч и миллионы. Каждую серьезную уязвимость в массовых устройствах, постоянно подключенных к Сети, также можно снабдить подробной инструкцией по реагированию. Вот такой:

Security Week 49

Потому что даже самая серьезная уязвимость, про которую узнает максимальное количество людей, никак не повлияет на количество запатченных устройств: дырявых все равно останется много. Так вот, то, что раскопал исследователь Стефан Вибок из компании SEC Consult, — еще серьезнее.

Он проанализировал прошивку более чем 4 тыс. устройств от 70 разных производителей: сетевых шлюзов, роутеров, IP-камер, телефонов и прочего. В прошивке каждого такого устройства зашиты ключи и сертификаты для доступа либо по SSH, либо через веб-консоль, в данном случае исследователи искали ключи SSH и сертификаты X.509. Всего на 4 тыс. устройств было найдено 580 уникальных ключей. Да, это означает, что на некоторых устройствах ключи не совсем уникальные.

Используя сетевые сканеры, исследователи прошлись по Сети и обнаружили, что ключи и сертификаты из списка имеются на 9% всех хостов HTTPS в Интернете (150 сертификатов, 3,2 млн хостов) и на 6% SSH-хостов (80 ключей, 900 тыс. хостов). Как так вообще получается?

Есть примеры. Сертификат, выписанный на имя сотрудника Broadcom, присутствующий в SDK (видимо, для SoC этой компании), который практически автоматом переселяется в прошивки разных устройств разных производителей. В Сети сертификат был обнаружен на 480 тыс. хостов. Еще один сертификат от Texas Instruments, видимо, по такой же схеме обнаруживается в 300 тыс. устройств, в компании со статическим ключом SSH. Чем это все угрожает, тоже понятно: атаки типа man-in-the-middle, кража паролей и прочий перехват данных. В общем, нашли еще одну дыру, с которой не очень-то понятно, что делать, и даже до конца неясно, где еще она может всплыть.

Взлом производителя умных игрушек VTech привел к утечке данных 5 млн пользователей

Новость. Заявление компании. FAQ от производителя.

В современном кибермире есть множество мест, в которых хранятся ваши личные данные. Настолько много, что никто из нас, по сути, не знает, где именно и как они защищены. История китайского производителя «умных» детских игрушек VTech лишний раз это подтверждает: взлом серверов компании привел к утечке данных не только «клиентов» (родителей), но и детей.

Как минимум утекли имена и даты рождения детей, максимум — фото, снятые камерой, встроенной в некоторые игрушки. У родителей утекли пароли, причем плохо защищенные (были зашифрованы, но при этом не использовалась соль, так что, вооружившись радужными таблицами, их легко перевести в обычный текст), контактные данные, — в общем, все, кроме платежной информации (она обрабатывалась третьей стороной). Всего пострадало до 5 млн учетных записей.

Security Week 49

Серия «Мои первые утечки персональненьких данных»

Как так вышло? В официальном заявлении компании говорится: «К сожалению, наша база данных была не настолько защищена, как хотелось бы». Более того, взлом произошел 14 ноября, а в компании об этом узнали только 24-го, через десять дней, и то после запроса журналиста — слитая база к тому времени уже утекла в Сеть.

Конечно, этот взлом не претендует на лавры самого масштабного, но несколько пугает своей неожиданностью: 5 млн пользователей по всему миру теперь придется задуматься о смене всех паролей ко всем сервисам, но не только. Уверен, что большинство пользователей даже не подозревали, что именно хранит у себя производитель детского планшета.

То есть поколение нынешних родителей совсем не обязательно имело компьютер в детстве. У меня вот был, но там не было даже игр, не то что Интернета: вместо «видеочатика с мамой» приходилось играть в сортировку пузырьком и ассемблер. А вот нынешние дети воспринимают все окружающие нас гаджеты как нечто естественное чуть ли не с рождения.

До сих пор все разговоры о защите детей в Cети сводились к ограничению доступа к контенту. Пожалуй, пора задуматься о том, что самих данных о детях, их поведении и активности хранится у третьей стороны несколько больше, чем можно предположить. Это, в общем-то, нормально, но защищать эти данные нужно явно не по остаточному принципу, исходя из стратегии «ну кому придет в голову нас ломать». Вот, кому-то пришло.

Microsoft блокирует «вводящее в заблуждение ПО», намекая на довески к популярному софту и adware

Новость. Пост в блоге компании.

Microsoft ввела новый термин: PUA, или Potential Unwanted Application, или «Потенциально нежелательное приложение». Определение этого самого ПНжП довольно общее, но мы все понимаем, на что в компании намекают. Блокировке могут подвергнуться приложения, использующие технологию вставки рекламных баннеров, софт, распространяющийся в качестве «довеска» к обычному ПО, а также софт, «настойчиво предлагающий оплатить услуги с признаками мошенничества». Как мы все знаем, грань между более-менее легитимными программами, использующими такую тактику, и совсем нелегитимными (например, поддельными антивирусами), очень тонкая.

Security Week 49

Мы у вас что-то нашли и удалили

Поэтому сервис по удалению или блокировке ПНжП будет предоставляться только корпоративным пользователям, а не всем сразу. Сервис сделан отключаемым, так как любая подобная блокировка может привести к ложным срабатываниям. Возможно, эта идея поможет сделать компании самую чуточку безопаснее, хотя реально работающая система все-таки предполагает запрет всего, что не разрешено.

Что еще произошло:

Юридическая коллизия в американском суде привела к раскрытию информации о том, что ФБР называет National Security Letter, а в компаниях обычно именуют «gag order» — это когда спецслужбы просят раскрыть данные о пользователе, одновременно требуя хранить сам факт раскрытия в секрете.

Против этой тактики последовательно выступают многие компании — они даже придумали способ обойти секретность: сначала на сайт вешаем заявление о том, что мы не предоставляли информацию спецслужбам по секрету, а если такой случай произойдет — убираем заявление. Очень много обсуждений вопросов приватности, но ни грамма технологий.

В Китае обнаружили очередную APT, сливающую данные жертв через Dropbox.

Древности:

Семейство «Darth»

Резидентные очень опасные вирусы, поражают .COM-файлы при записи в них (int 21h, ah = 40h). Записываются в начало файла, не сохраняя его старое содержимое. Встраиваются в сегмент DOS. Подменяют адрес функции 40h в таблице функций прерывания 21h. Содержат текст «Darth Vader».

Цитата по книге «Компьютерные вирусы в MS-DOS» Евгения Касперского. 1992 год. Страница 28.
Security Week 49

Хоть что-то в этом мире не меняется, и это, пожалуй, даже приятно. Да пребудет с вами сила!
Security Week 49

Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.

Советы

Как отключить слежку в iOS?

У вас есть iPhone, iPad или iPod? Потратьте несколько минут на настройку служб геолокации, чтобы сэкономить заряд батареи и сохранить конфиденциальность перемещений.