Kaspersky - īpaša aizsardzība pret šifrējošajiem izspiedējvīrusiem!
Sākumlapa » Apdraudējumi » Drošības nedēļa 2016 09: konference RSA 2016, DROWN uzbrukums, Hacking Team atgriežas un Locky turpina uzbrukt

Drošības nedēļa 2016 09: konference RSA 2016, DROWN uzbrukums, Hacking Team atgriežas un Locky turpina uzbrukt

Pagājušajā nedēļā Sanfrancisko notika viens no svarīgākajiem IT drošības industrijas notikumiem — RSA konference. Tajā savus risinājumus prezentēja vairāk nekā 400 uzņēmumu. Te bija pilnīgi viss: no precīzi pielāgotiem VPN aizsardzības risinājumiem un šifrēšanas līdz pat vispusīgām drošības sistēmām. Viena no galvenajām tēmām konferencē bija kiberdraudu evolūcija un no tiem aizsargājamās infrastruktūras attīstība.

Starp jau zināmiem, bet joprojām aktuāliem jautājumiem ir mākoņsistēmu aizsargāšana (jebkurā šī termina nozīmē), bet starp jaunajiem — kā aizsargāt „lietu internetu” (IoT), ekosistēmu, kurā drīz būs miljardiem ierīču, kas katra par sevi ir mazjaudīga, bet visas kopā veido līdz šim neredzētas skaitļošanas jaudas.

Taču IoT ir tikai tuvas nākotnes tēma, bet visnopietnākā praktiskā joma tomēr ir aizsardzība pret mērķētiem uzbrukumiem. Kāpēc tas ir svarīgi? Runa ir par mērķētiem uzbrukumiem konkrētiem uzņēmumiem. Tradicionālā ļaunprogrammatūra uzbrūk „visā frontē”, bet šeit ir runa par mēģinājumiem uzlauzt iepriekš atlasīta upura datorsistēmu. Tāpēc šādos uzbrukumos infrastruktūras izpēte un tās unikālo īpatnību izmantošana ir tikpat svarīga kā paši uzbrukuma rīki. Pēdējie var būt unikāli katram konkrētajam cietušajam, un to labi parādīja Poseidon kampaņa.

Ir tūkstošiem veidu, kā uzlauzt vienu un to pašu uzņēmumu, jo nav iespējams noteikt un noslēgt visus potenciāli neaizsargātos punktus. Bet kaut kas tomēr ir jādara, un tad nu katrs ražotājs piedāvā savus paņēmienus. Visos gadījumos nepieciešams savākt un apstrādāt milzīgu informācijas daudzumu, lai konstatētu aizdomīgu darbību, kas atšķiras no uzņēmuma darbinieku parastās tīkla aktivitātes.

 

Konferencē RSA 2016 tiek prezentēta Kaspersky Anti Targeted Attack Platform.

Konferencē RSA 2016 tiek prezentēta Kaspersky Anti Targeted Attack Platform.

Konferencē Kaspersky Lab demonstrēja savu risinājumu — Kaspersky Anti Targeted Attack Platform. Tikmēr visu laiku parādās jauni draudi, un pagājušās nedēļas galvenais notikums bija DROWN.

DROWN uzbrukums: iespējams atšifrēt trešo daļu aizsargātu HTTPS savienojumu, kurus izdodas pārtvert

Pērn jaucējsummu algoritmu SHA-1 atzina par teorētiski neaizsargātu, un ar to bija diezgan, lai interneta pārlūkprogrammu izstrādātāji cits pēc cita atteiktos no šī algoritma atbalstīšanas. Viss sākās ar kādu zinātnisku darbu, kurā pat nebija runa par reāliem, aktuāliem draudiem. Tie varēja parādīties kaut kad nākotnē. Bet DROWN uzbrukums rāda (par citu tēmu, bet arī sakarā ar šifrēšanu), kā teorija pārvēršas par praksi. Un laika posms, kas šķir pirmo no otrās, ir diezgan ilgs.

Ievainojamība ir šāda. Šifrētus savienojumus pašlaik veido ar TLS protokolu, kas nomainīja tādus pašus protokolus SSLv3 un SSLv2, kuri pēc tagadējiem standartiem nav pietiekami aizsargāti. Ja savienojumu ar tīmekļa vietni veidojat ar HTTPS protokolu, tad faktiski darbojas tas pats TLS protokols. Tam pagaidām nav problēmu, bet ir kāda nianse.

Diezgan daudzi tīmekļa serveri joprojām atbalsta novecojušo protokolu SSLv2. Nu lai jau atbalsta — ja kāds gribēs to izmantot, lai izveidotu savienojumu (mūsdienu pārlūkprogrammā kaut kas tāds netīšām neizdosies), lai jau viņam tiek tas prieks… Bet tagad kļuvis zināms, ka, izmantojot SSLv2 atbalstu, var atšifrēt datplūsmu, kura ir šifrēta saskaņā ar TLS protokolu.

Lūk, kā notiek šāda veida uzbrukums. Ļaundaris pārtver šifrēto datplūsmu no upura datorsistēmas. Pēc tam viņš, izmantojot SSLv2, sūta vairākus pieprasījumus serverim, bet tas sniedz viņam datus, ar kuriem pietiek, lai atšifrētu TLS datplūsmu.

Divos atšķirīgos uzbrukuma gadījumos atšifrēšanai nevajag daudz laika — vai nu dažas stundas, ja izmanto jaudīgu serveri (jeb samaksā 440 ASV dolāru par Amazon procesoru jaudas nomāšanu), vai pat tikai vienu minūti, izmantojot jaudīgu PC. Otrajā gadījumā palīdz daudzu serveru atbalstītā „eksporta” kriptogrāfija, kura ir apzināti vājināta. Tātad viss, kas ļaundarim vajadzīgs, ir neliela skaitļošanas jauda, kā arī prasme un iespēja pārtvert svešo datplūsmu. Tas tiešām ir bīstami.

Un atkal nelaime nenāk viena. No atšifrētās datplūsmas var iegūt datus, kas nepieciešami, lai uzlauztu uzņēmuma tīklu, un šādus draudus nekādi nav iespējams iepriekš paredzēt — lai cik pilnīga būtu uzņēmuma perimetra aizsardzība, vienmēr atradīsies pietiekami viltīgs uzbrucējs. Tāpēc jau nozares speciālisti cenšas maksimāli ātri atklāt sekmīgus uzbrukumus, kad ļaundaris jau ir iekļuvis tīklā, bet vēl nav nodarīts kaitējums.

Kāds tam sakars ar vēsturi? Pētnieki, kuri atrada šo ievainojamību, atsaucas uz kāda Daniela Bleihenbahera 1998. gada pētījumu. Viņš toreiz atklājis līdzīgu problēmu citā šifrēšanas sistēmā. Arī toreiz tas bijis pilnīgi teorētisks pētījums, jo runa bija (un tagad ir) par to, ka nepieciešami vairāki desmiti tūkstošu savienojumu ar serveri, lai veiktu uzbrukumu. Tobrīd tas šķita kaut kas nereāls, bet tagad ir pilnīgi iespējams. Tieši tā zinātniskie pētījumi pārvēršas par datoru drošības speciālista ikdienas īstenību — kaut vai pēc 18 gadiem.

Hacking Team atgriežas ar jauniem ekspluatējumiem

Hacking Team uzlaušana 2015. gadā bija ievērojams notikums. No uzņēmuma, kurš bija ieguvis bēdīgu slavu ar savu darbu valsts iestāžu labā un piegādāja tām datorsistēmu „likumīgas” uzlaušanas instrumentus, toreiz „noplūda” daudz informācijas, kura turklāt bija bīstama, jo saturēja vairākas „nulles dienu” ievainojamības. Ņemot vērā Hacking Team darbības īpatnības, neviens šo uzņēmumu sevišķi nežēloja, tomēr ētiski apšaubāmā biznesa organizatori nolēma nepadoties.

Un lūk, nesen parādījies jauns kaitīgais modulis, kas paredzēts Mac OS X datoru inficēšanai un datu zagšanai no šiem datoriem. Jauno „lūku” pirmie aprakstīja uzņēmuma Objective-See pētnieki, bet Kaspersky Lab speciālisti sniedza sīkākas ziņas par tā reālo funkcionalitāti. Kaitīgā programma var uzņemt ekrāna foto, zagt sistēmas un lietojumprogrammu datus, ierakstīt lietotāja darbību, izmantojot tīmekļa kameru un mikrofonu, noteikt datora ģeogrāfisko atrašanās vietu un pat zagt īsziņas no tālruņa, kas savienots ar inficēto datoru.

Kaspersky Lab — tāpat kā daudzi citi drošības programmatūras ražotāji — konstatē un bloķē šo moduli. Kaitīgā programma vienmēr ir kaitīga — nav svarīgi, kādam nolūkam to izmanto.

Notikumi Latvijā

Aktualitāte Nr.1 ir un paliek šifrējošie izspiedējvīrusi. Jaunais Locky Latvijā pagājušajā nedēļā atkal lika sevi manīt ar e-pasta vēstuļu starpniecību, kurās tika vēstīts par kādu pasta sūtījumu. Par laimi vēstules bija angļu valodā, bet tas nozīmē, ka cietušo nebija daudz. Vēstulēm bija pievienots ZIP arhīvs ar Javascript failu, kas savukārt rūpējās par šifrētājvīrusa lejupelādi.

 

ZIP arhīvā ievietotais Javascript fails, kas lejupielādē šifrējošo izspiedējprogrammu Locky.

ZIP arhīvā ievietotais Javascript fails, kas lejupielādē šifrējošo izspiedējprogrammu Locky.

Kā ziņo CERT.LV iknedēļas pārskatā, tad tikusi izķēmota Augstākās tiesas mājaslapa, bet kāda komunālo pakalpojumu sniedzēja tīmekļa vietnē fizisko personu dati tikuši vākti, neizmantojot drošu SSL/TLS savienojumu.

Izmantoti Kaspersky Lab un CERT.LV materiāli.

Birkas:
Iepriekšējais raksts
Nākošais raksts

Komentēt

Jūsu e-pasts netiks publicēts. Obligātie lauki ir iezīmēti *

*

21 − 15 =

Kaspersky - īpaša aizsardzība pret šifrējošajiem izspiedējvīrusiem!
Uz augšu