Kaspersky - īpaša aizsardzība pret šifrējošajiem izspiedējvīrusiem!
Sākumlapa » Apdraudējumi » Drošības nedēļa 2016 08: datorpeļu ievainojamības, Sony Pictures uzlauzēji, lūka Linux distributīvā un Locky šifrējošā izspiedējprogramma Latvijā

Drošības nedēļa 2016 08: datorpeļu ievainojamības, Sony Pictures uzlauzēji, lūka Linux distributīvā un Locky šifrējošā izspiedējprogramma Latvijā

Līdztekus virsrakstā minētajiem notikumiem turpinās stāsts par Apple un FIB konfliktu vai, pareizāk sakot, par mobilo tālruņu izstrādātāja cīņu ar valsti likumdošanas jomā. Mēs nezinām, vai FIB spēj uzlauzt iPhone, vai nespēj. Bet konflikta būtība ir cita — uzņēmumu Apple cenšas piespiest „uzlauzt” pašam savu viedtālruni. Par to ir runa Apple iesniegumā — tur juridiski pareizi noformulētas iepriekš publiski paustās pretenzijas. Galvenais: Apple uzskata, ka FIB prasa par daudz. Tiesa parasti prasa, lai uzņēmums izsniedz to, kas tam jau ir (dati no iCloud, žurnāli, programmatūras pirmkods). Bet šajā gadījumā tiek prasīts, lai Apple rada kaut ko jaunu — tālruņa uzlaušanas instrumentu, kāda uzņēmumam iepriekš nav bijis. Apple dēvē šo lūku par GovtOS.

 

Drošības nedēļa

 

Tagad ir skaidrāks priekšstats arī par sekām, kādas varētu būt visai nozarei. Ja Apple tiks piespiests izveidot lūku, tad tas būs precedents līdzīgām prasībām, turklāt ne tikai ASV. Noskaidrots, ka jau tagad tiek izskatītas prasības attiecībā vismaz uz desmit ierīcēm, kur tiesa pieprasa, lai Apple uzlauž pats savu aizsardzības sistēmu. Taču arī neatkarīgi no šīs lietas iznākuma Apple var būt spiests mainīt turpmāk izlaižamo ierīču programmatūru un aparatūru tādā veidā, lai ražotājam vispār nebūtu nekādu iespēju piekļūt lietotāja informācijai. Atsaucoties uz anonīmiem avotiem, New York Times raksta, ka šis darbs jau esot uzsākts.

Bezvadu datorpeļu ievainojamības ļauj attāli pārņemt savā varā datorus

Šo jaunumu var klasificēt uzreiz divās kategorijās: „Nelaime nenāk brēkdama” un „Atkal negaidīti uznāca ziema”. Septiņu ražotāju bezvadu pelēm, tostarp Lenovo, Dell, Microsoft un Logitech, atrastas vairākas ievainojamības, kuras visas kopā ļauj attāli savienoties ar datoru bez lietotāja atļaujas, kā arī pārraidīt taustiņsitienus un peles kustības, tādējādi pārņemot savā varā datorsistēmu. Tātad dators nav jāinficē ar vīrusu, jo vīrusa kodu var attāli „ierakstīt” un izpildīt upura datorsistēmā, turklāt bez atļaujas un ļoti ātri.

 

sw08-1

 

Ievainojamība nav Bluetooth pelēm, bet gan tādām, kurām ir savs uztvērējs un kuras datu pārraidīšanai izmanto pašas savu bezvadu sakaru protokolu. Tātad ievainojamība skar ne tikai peles vien: ja jums ir bezvadu tastatūra ar USB uztvērēju, pie kura teorētiski var pievienot arī peli, tad jums ir problēmas. Pētnieki publicējuši arī neaizsargāto ierīču sarakstu.

Kā tas gadījies? Ļoti vienkārši. Datu pārraides drošības noteikumi datorpelēm nav tik stingri kā tastatūrām. Bastille Networks speciālisti noskaidrojuši, ka tastatūras un datora informācijas apmaiņas datplūsma gandrīz vienmēr ir šifrēta, bet tāda pati informācijas apmaiņa starp datoru un peli netiek šifrēta. Laikam jau tādēļ, ka no taustiņsitieniem var iegūt potenciāli bīstamu informāciju, bet datorpeles kustības pašas par sevi nekādu informāciju nesniedz.

Vēl atklājies, ka ar uztvērēju var savienoties katrs, kurš to vēlas. Teorētiski jaunu ierīču pieslēgšanai būtu jānotiek tikai īpašā režīmā, veicot savienošanu pārī, bet faktiski šo ierobežojumu var apiet. Turklāt ir iespējams apzīmēt savu ierīci kā datorpeli un tad pārraidīt datoram taustiņsitienus, kurus uztvērējs „ņems pretī” par spīti nepareizajam ierīces apzīmējumam.

Turpmākais ir skaidrs: atrodam tuvumā (līdz 100 m) neaizsargātu uztvērēju, pieslēdzamies tam, pārraidām Ctrl-Esc, cmd un visu pārējo. Rodas ļoti bīstams stāvoklis, kad lietotājs gan netiek izspiegots, tomēr rakstīšanas režīmā ir iespējams pilnīgi pārņemt savā varā viņa datorsistēmu. Pētījumā norādīts, ka nebūt ne visām ierīcēm var novērst ievainojamību. Problēmas risinājumu pagaidām piedāvā tikai uzņēmums Logitech.

Operācijā Blockbuster atmaskota grupa Lazarus

Sony Pictures Entertainment uzlaušana bija viens no visvairāk apspriestajiem IT drošības jomas notikumiem 2014. gadā. Vēl tagad to izmanto, lai uzskatāmi parādītu šādu uzbrukumu sekas: milzīgu finanšu zaudējumu, iedragātu reputāciju, personisko datu masīva „noplūdi”, gan iekšējo, gan ārējo pakalpojumu ilgu nepieejamību. Protams, ka uzreiz radās jautājums — kurš vainīgs? Bet IT drošības jomā tas nav galvenais. Svarīgāk izprast, kādā veidā: а) aizsargāties pret šādiem uzbrukumiem; b) maksimāli ierobežot kaitējumu, kuru varētu nodarīt tās pašas grupas nākamie uzbrukumi.

Lai ierobežotu kaitējumu, jāaplūko ne vien šis uzbrukums, bet visa noziedznieku grupas darbība kopumā. Un tas nav viegli, jo kibernoziedznieki neizplata paziņojumus par saviem uzbrukumiem, toties jauc pēdas, maina un modernizē uzlaušanas rīkus. Operācija Blockbuster ir rets gadījums, kad vairāki uzņēmumi sadarbojās, lai savāktu un publicētu visu informāciju par kādu kibernoziedznieku grupu. Grupai deva nosaukumu Lazarus. Daudzu pētnieku kopīgais darbs ļāva noskaidrot, ka grupa veikusi desmitiem uzbrukumu visā pasaulē, tostarp arī Sony Pictures uzlaušanu.

Pētniekiem izdevās noteikt, ka viena un tā pati grupa jau kopš 2010. gada veikusi uzbrukumus dažādās valstīs, tostarp Dienvidkorejā, Krievijā un ASV. Bet kas tad ir uzbrucēji? Lūk, fakti: daudzi moduļi programmēti korejiešu valodas vidē, metadati liecina par to, ka grupa atrodas GMT+8 vai GMT+9 laika joslā (Ziemeļkoreja un Dienvidkoreja, liela daļa Āzijas), veikts daudz uzbrukumu Dienvidkorejas interneta resursiem.

Lūka Linux Mint distributīvos

1999. gadā Red Hat trekerī tika apspriesta kļūda, kas bija saistīta ar lejupielādējamo Linux atjauninājumu pārbaudi. To kļūdu izlaboja (vairāk vai mazāk), bet problēma joprojām nav atrisināta: ja kādas operētājsistēmas izstrādātājs pienācīgi nekontrolē tās izplatīšanu, tad agri vai vēlu parādās šīs sistēmas versijas ar kaitīgām funkcijām. Tieši tādēļ Linux distributīvus vēlams lejupielādēt no oficiālās vietnes, jo tur noteikti nebūs nekādu nevēlamu „papildinājumu”.

Bet varbūt tomēr būs? Agri vai vēlu tam vajadzēja notikt: visai populārā Linux Mint distributīva vietni uzlauza un tajā nomainīja vienu no sistēmas tēliem. Cietušo gan nav daudz: uzlaušanu ātri pamanīja, tāpēc distributīvu ar lūku varēja lejupielādēt tikai 20. februārī, turklāt „uzlabots” bija tikai viens diska tēls vienā vietnes sadaļā. Tomēr šis ir zīmīgs gadījums, kas ļauj novērtēt tādas uzlaušanas sekas. Inficētās sistēmas savienojās ar IRC kanālu, kur tās varēja saņemt komandas.

Kad Kaspersky Lab eksperti analizēja lūku, ar šo kanālu bija savienojušās apmēram 50 sistēmas. Ļaundaris varēja lejupielādēt jebkurus failus no upura datora vai servera — īpaša uzmanība tika pievērsta pieejamajām tīkla mapēm un Linux Mint foruma piekļuves parolēm. Turklāt inficētu sistēmu var izmantot, lai veiktu DDoS uzbrukumus.

Tad jau galvenais, lai distributīva kontrolsumma atbilstu etalonam? Ne gluži: ja izstrādātāja vietne ir uzlauzta, tad noziedznieks var mainīt arī kontrolsummas etalonu. Pagaidām ir bijis tikai viens tāds gadījums, bet tas parāda, ka nepieciešama sarežģītāka distributīvu atbilstības kontroles sistēma.

Kas vēl notika pagājušajā nedēļā?

Uzņēmumam Nissan nācās izslēgt automašīnas attālas vadības sistēmu, kura ļāva ar tālruņa lietotnes palīdzību vadīt klimata kontroles sistēmu, pārbaudīt akumulatora uzlādes līmeni un tml. Iemesls? Pavisam vienkāršs: sistēma bija pieejama ikvienam, kurš zināja „slepeno” URL adresi un automobiļa sērijas numura (VIN numura) pēdējos ciparus. Gods un slava Nissan — viņi reaģēja ātri un izslēdza sistēmu līdz labākiem laikiem. Ievainojamība bija apmēram 200 tūkstošiem automašīnu Nissan Leaf.

Notikumi Latvijā

Šifrējošā izspiedējprogramma Locky, kas globālajā tīmeklī parādījās februāra vidū, klusiņām uzdarbojas arī Latvijā. Līdz šim nav bijis tieši Latvijas interneta lietotājiem mērķētu uzbrukumu ar e-pasta vēstulēm latviešu valodā utt., tomēr, kā ziņo CERT.LV, Latvijā ir konstatēti vairāki Locky sašifrēti datori.

Kā jau ierasts, turpinās vecais stāsts ar neatjauninātu interneta vietņu satura vadības programmatūru, kas rezultātā noved pie tā, ka tās nopietni apdraud šo lapu apmeklētājus. Saskaņā ar CERT.LV informāciju, divās interneta lapās konstatēti ievietoti Angler EK Eksploit Kit komponenti, kas bija mērķēti uz to, lai inficētu pārlūkprogrammas Internet Explorer lietotāju datorus.

Izmantoti Kaspersky Lab un CERT.LV materiāli.

Birkas:
Iepriekšējais raksts
Nākošais raksts

Komentēt

Jūsu e-pasts netiks publicēts. Obligātie lauki ir iezīmēti *

*

6 + 2 =

Kaspersky - īpaša aizsardzība pret šifrējošajiem izspiedējvīrusiem!
Uz augšu