Vislabākā aizsardzība, lieliskas cenas!
Sākumlapa » Apdraudējumi » Drošības nedēļa 2015 52-53: Juniper lūkas, Java (ne)drošība, Facebook dusmas un Swedbank pikšķerēšana

Drošības nedēļa 2015 52-53: Juniper lūkas, Java (ne)drošība, Facebook dusmas un Swedbank pikšķerēšana

Līdz šim AntiVirus.LV atjaunotajā veidolā vairāk fokusējās tikai uz aktuālajiem ļaunprogrammatūras apdraudējumiem Latvijā un drošības risinājumu ražotāja Kaspersky Lab sasniegumiem. Ir nolemts paplašināt tēmu klāstu ar regulāriem apskatiem par svarīgākajiem vai skaļākajiem notikumiem IT drošībā pasaulē, papildinot tos ar Latvijas aktualitātēm.

 

Drošības nedēļa

 

Un tā, aizgājušā gada 17. decembrī tīkla iekārtu ražotājs Juniper paziņoja par divām atklātām lūkām (backdoor) tā iekārtu programmatūrā. Šīs ievainojamības varētu vienkārši papildināt garum garos sarakstus ar dažādām ievainojamībām, mūķiem un nekorektām konfigurācijām tīkla maršrutētājos, tomēr, kā izrādījās vēlāk, šajā stāstā ir daudz nianšu, kas skar ne tikai drošu kodēšanu, bet arī kriptogrāfiju un pat iespējamu specdienestu dalību. Neskaitot notikumu ar Juniper, pagājušā gada nogalē bija vēl pāris pasaules medijos populāru jaunumu.

Divas lūkas Juniper iekārtās: netriviāla un pavisam netriviāla

2015. gada 17. decembrī ražotāja Juniper vietnē parādījās ziņa par divu nopietnu ievainojamību aizvēršanu operētājsistēmā ScreenOS, kura ir kompānijas radīta un tiek izmantota korporatīvā segmenta ugunsmūros NetScreen. Tās ir tādas augstražīgas iekārtas, kas nodrošina trafika filtrēšanu, VPN, aizsardzību pret DDoS uzbrukumiem datu kanāliem no 10 Gbit/s un augstāk. Abas ievainojamības ļoti bīstamas un katra atsevišķi apdraud pārraidāmos datus savā veidā.

Vienkārši netriviālā ievainojamība

Parastās un nesankcionētās pieteikšanās piemērs.

Parastās un nesankcionētās pieteikšanās piemērs.

Kā redzams attēlā, parastās pieteikšanās vienīgā atšķirība no nesankcionētās pieteikšanās ir lietotāja vārds — otrajā gadījumā parādās ieraksts par ieiešanu ar lietotāja „system” vārdu. Tā nav nepārprotamākā uzlaušanas pazīme, turklāt Juniper pārstāvji pareizi norāda, ka ļaunprātis šīs divas rindiņas izdzēsīs pirmās. Tātad runa ir par koda iestarpinājumu, kas ļauj autorizēties lietotājam, kuru nav izveidojis ierīces administrators.

Faktiski viss ir mazliet sarežģītāk vai varbūt vienkāršāk — kā nu to ņem. Juniper paziņojumā nekas nebija sīkāk paskaidrots: „Mēs atradām divus “caurumus”, te būs labojumi, paldies par uzmanību.” Ņemot vērā šo ievainojamību bīstamību, nevar pārmest uzņēmumam Juniper, ka tas mēģina slēpt informāciju. Bet var salīdzināt kodu „pirms un pēc labojuma” un noskaidrot, kā darbojas „lūka”.

Tādu analīzi jau veikuši daudzi, tostarp arī uzņēmums Rapid7. Izrādās, ka runa nav par slepenu pāri „lietotājvārds – parole”, bet gan tikai par paroli, turklāt nokodētu tādā veidā, ka, caurskatot izejas kodu, tā izskatās kā komentārs vai kā atkļūdošanas kods. Vārdu sakot, ja ievainojamais ugunsmūris ir redzams „no ārpuses”, tad nav grūti tam pieslēgties ar pilnām piekļuves tiesībām. Tiek minēti dati no specializētā meklētāja Shodan: līdz publicēšanas brīdim tas uzskaitījis 26 tūkstošus NetScreen ierīču (ne obligāti ievainojamas), kurām var pieslēgties no ārpuses, izmantojot SSH. Uzskata, ka šī „lūka” varētu būt bijusi pieejama kopš 2013. gada, kad iznāca versija, kurā bija parādījies minētais koda iestarpinājums.

Pavisam netriviāla ievainojamība

Otra ScreenOS ievainojamība ir mazliet senāka — kopš 2012. gada, un tā ļauj atšifrēt VPN datplūsmu. Diez vai sīkāk jāpaskaidro, ko tas nozīmē uzņēmumiem, kuri izmanto NetScreen kompleksus, lai nodrošinātu savu struktūrvienību aizsargātos sakarus atklātajos tīklos. Juniper sākotnējā paziņojumā pareizi norādīts, ka nav iespējams noteikt, vai šī ievainojamība tikusi izmantota. Kā tas gadījies? Lai no noskaidrotu, jāiedziļinās šifrēšanas jautājumos.

Mēģināsim tik skaidrībā, izmantojot pazīstamā kriptogrāfijas speciālista Metjū Grīna pubikāciju. ScreenOS izmanto pseidonejaušas ģenerēšanas algoritmu Dual_EC_DRBG. Atbildot jau sen paustajām šaubām par algoritma drošību, uzņēmums Juniper savulaik publicēja paziņojumu: pat ja tā esot, tad ScreenOS nevarot būt nekādu ievainojamību, jo tā izmantojot pati savu algoritma implementāciju, kurā Dual_EC_DRBG izejas datus nodod tālākai apstrādei ar citu algoritmu — FIPS/ANSI X.9.31 PRNG.

Metjū Grīns atzīst, ka tāds „konveijers” tiešām izslēdz ievainojamību iespēju, bet vienīgi tādā gadījumā, ja uzbrucējam nav pieejama sākotnējā skaitļu virkne, kuru ģenerē ar Dual_EC_DRBG palīdzību. Turklāt nav nemaz vajadzīga visa virkne, pietiek apmēram ar pirmajiem 30 baitiem. Ievainojamību labojumu reversās inženierijas rezultāti liecina, ka tieši tas (algoritma pirmo 32 baitu izeja) arī notiek! Pēc izejas datu 32 baitu saņemšanas uzbrucējs var paredzēt, kas ar šiem datiem notiks tālāk, un galu galā var iegūt šifrētās datplūsmas atslēgu.

Metjū Grīns neizdara secinājumus par “lūkas” pasūtītāju, bet vēlreiz uzsver, cik bīstami ir ar nolūku pavājināt kriptogrāfiju. Katrs, kurš atstāj / ievieto (vienalga, bez ražotāja ziņas vai ar viņa palīdzību) “lūku” savām vajadzībām, nevar garantēt, ka to neizmantos vēl kāds cits. Jāpiebilst, ka no Edvarda Snoudena saņemtajos dokumentos gan algoritms Dual_EC_DRBG, gan Juniper ierīces ar “lūku” ir pieminētas ne vienu reizi vien.

Oracle vienojas ar ASV Federālo tirdzniecības komisiju par Java (ne)drošību

Oracle noslēdzis mierizlīgumu ar ASV Federālo tirdzniecības komisiju (FTK) sakarā ar strīdu par Java platformas drošību. Kāds gan platformai Java sakars ar FTK? Tādam satraukumam ir pavisam nopietni iemesli. Java regulāri konkurē ar Adobe Flash par uzlauzēju visbiežāk ekspluatētās programmatūras nosaukumu, un pēdējā laikā uzvar Flash, jo tai uzbrūk biežāk. Kaspersky Lab statistikas dati liecina, ka 2015. gadā Java ievainojamības ļaunprātīgi izmantotas 13% uzbrukumu ar mūķiem, kamēr vēl pirms gada šis rādītājs bija 45%. Java vairs netiek izmantota praktiski nevienā mūķu pakā. Tātad viss it kā ir kārtībā, vai ne? Bet runa jau ir par ko citu. Strīds bija par vecām Java versijām un par to, kā Oracle aicina lietotājus atjaunināt programmatūru, lai viņi būtu drošībā.

 

security-week-52-4

 

Vismaz līdz 2014. gada augustam Java atjauninājumi negarantēja lietotājiem pilnīgu drošību, jo dažos gadījumos neaizsargātas vecās Java versijas joprojām palika sistēmā. Šo problēmu varēja atrisināt tikai pilnīga vecās versijas atinstalēšana pirms jaunas versijas uzstādīšanas. Daudziem zināms, cik „ērti” un „saprotami” vēl nesen bija atjauninājumi. Vārdu sakot, mierizlīgumā abas puses vienojās, ka uzņēmums „vēl labāk informēs” savas programmatūras lietotājus. No Oracle iekšējās sarakstes, kura analizēta FTK izmeklēšanas gaitā, zināms, ka atjauninājumu problēmas ir bijušas zināmas uzņēmuma darbiniekiem.

Facebook apsūdz pētnieku amorālā „pētniecībā”

Kad drošības eksperts Veslijs Veinbergs aizsūtīja Facebook ziņu par ievainojamību Instagram serveru infrastruktūrā, nekas nesolīja viņam nepatikšanas. Pētnieks saņēma pateicību un paziņojumu, ka programmas „bug bounty” ietvaros viņam pienākas 2500 ASV dolāru. Bet tālāk notikumi attīstījās neparedzētā virzienā: Veinbergs turpināja izpēti, uzlauza vai visu Instagram (nokļuva līdz serveriem ar izejas kodu un lietotāju datiem), savukārt Facebook apsūdzēja viņu neētiskā rīcībā.

Iesaistītās puses stāsta katra savu. Veinbergs apgalvo, ka atradis virkni ievainojamību, tādēļ piekļuvis Instagram virtuālajiem serveriem servisā Amazon S3. Savukārt Facebook drošības direktors (CSO) Alekss Stamoss stāsta, ka bijis tikai viens ieejas punkts, un pateicas Veinbergam par ziņojumu, bet uzsver, ka tālākā rīcība nav bijusi ētiska: nedrīkst uzlauzt serverus, zagt darbinieku un lietotāju datus — un dēvēt to par drošības izpēti. Sašutušais Stamoss piezvanījis Veinberga priekšniekam kompānijā Synack, tādējādi iesaistot drāmā jaunus varoņus. Veinbergs licis manīt, ka Facebook mēģinājusi kavēt paziņojuma publicēšanu par ievainojamībām, bet pētniekam to neviens nevarot aizliegt.

Vārdu sakot, grūti saprast, kuram te taisnība. Skaidrs ir tikai tas, ka joprojām nav stingru noteikumu par pētnieku un programmatūras ražotāju savstarpējām attiecībām. Bet nebūtu slikti, ja tādus noteikumus ieviestu. Pirmkārt, tas nāktu par labu visai nozarei, jo Instagram taču likvidēja ievainojamību, kamēr to vēl neviens nebija paguvis ļaunprātīgi izmantot. Otrkārt, labāk būtu, ja noteikumus izdomātu paši nozares pārstāvji.

Notikumi Latvijā

Aizgājušā gada Ziemassvētku brīvdienās tika izsūtītas viltus vēstules, kurās Swedbank klienti tika brīdināti par it kā bloķētu kontu. Vēstuļu mērķis bija piedabūt potenciālos upurus ievadīt savus Swedbank lietotāja datus viltus vietnē. Kā ziņo CERT.LV, tad kaitnieciskā lapa tika slēgta. Šāda veida uzbrukumi bieži vien tiek sarīkoti brīvdienās vai svētku dienās, acīmredzot, ar apsvērumu, ka viltus lapas varētu ilgāk palikt aktīvas. Lai gan tas jau ir daudzreiz teikts, laikam ir pamats vēlreiz atkārtot, ka bankas nekad nesūta e-pasta vēstules klientiem ar aicinājumu “apstiprināt” pieejas datus interneta bankai.

 

Nenoguliet programmatūras atjauninājumu uzstādīšanu!

Nenoguliet programmatūras atjauninājumu uzstādīšanu!

CERT.LV aizgājušā gada pēdējā iknedēļas apskatā min kādu mājas lapu, kurā ticis izvietots ziemassvētku apsveikuma attēls ar kaitīgu kodu. Apmeklējot šādu, pēc izskata nevainīgu, lapu, pie zināmas apstākļu sakritības bija iespējams inficēt datoru ar ļaunprogrammatūru. Tāpat CERT.LV apskatā ir minēta kādas valsts iestādes mājas lapa, kura tikusi kompromitēta jeb uzlauzta, izmantojot jau zināmu un izlabotu platformas Joomla ievainojamību. Tā savlaicīga labojumu neuzstādīšana noved pie bēdīgām sekām un var pat apdraudēt citus interneta lietotājus, jo arī minētajā uzlauztajā valsts iestādes mājas lapā mierīgi varēja tikt ievietots inficēts ziemassvētku apsveikums.

Izmantoti Kaspersky Lab un CERT.LV materiāli.

Birkas:
Iepriekšējais raksts
Nākošais raksts

1 Komentāri

  1. Es gaidu kad “piecirtīs” tie krāpnieki kas bāž visos exploitojamos routeros iekšā savu DNS.
    Latviju esmu daudzmaz nosekjūrojis, bet nu tie rogue DNSi ir globāli. Un pats labākais – hostējas oficiālos datu centros, Dānijā, Zviedrijā, Beļģijā, pilnīgi bez raizēm! Un datucentri uz abuse@ nereaģē, jo – klients taču maksā!
    Vel viņi tikai ievāc info, bet nu drīz sāks redirektēt kautko caur sevi, jo nginx jau ir uz tiem VPSiem uzlikts.

Komentēt

Jūsu e-pasts netiks publicēts. Obligātie lauki ir iezīmēti *

*

2 + 7 =

Vislabākā aizsardzība, lieliskas cenas!
Uz augšu