Vislabākā aizsardzība, lieliskas cenas!
Sākumlapa » Apdraudējumi » Drošības nedēļa 2016 10: Mac OS X izspiedējprogramma, iPhone aizsardzības apiešana, Facebook ievainojamība un Locky vēstuļu plūdi

Drošības nedēļa 2016 10: Mac OS X izspiedējprogramma, iPhone aizsardzības apiešana, Facebook ievainojamība un Locky vēstuļu plūdi

KeRanger — pirmā nopietnā Mac OS X izspiedējprogramma

KeRanger piesaistīja daudzu plašsaziņas līdzekļu uzmanību, un publikācijās šo Trojas zirgu bieži dēvēja gan par „pirmo”, gan par „pirmo patiesi bīstamo” izspiedējprogrammu operētājsistēmai Mac OS X. Patiesībā tā, protams, nav pirmā šāda veida Mac OS X programma (viena no pirmajām bija Trojas zirgs FileCoder, kuru Kaspersky Lab atklāja 2014. gada vasarā), un par ļoti bīstamu to arī nevar saukt (to īpaši uzver Apple fani). Kas par to, ka šifrē Macbook datus — toties Windows datoriem viss ir vēl daudz sliktāk!

Vispār jau faniem ir taisnība, bet tas šoreiz nav galvenais. Pēc uzstādīšanas KeRanger gaida trīs dienas, tad šifrē daļu datu inficētajā sistēmā un pieprasa izpirkšanas maksu — 1 bitmonētu (apmēram 400 ASV dolāru). Protams, nav patīkami, ja uzmācas tāds šantāžists, taču šis Trojas zirgs pats par sevi nav nekas īpašs.

Īpašs bija tā izplatīšanas paņēmiens. Pirmkārt, Trojas zirgs bija parakstīts ar likumīgu izstrādātāja sertifikātu (tagad tas anulēts), tāpēc Mac OS X iebūvētā aizsardzības sistēma GateKeeper nevarēja to bloķēt. Otrkārt, Trojas zirgs bija iekļauts torentu programmas Transmission instalācijas failā un neilgu laiku tika izplatīts no šī projekta oficiālās vietnes.

Tas jau mazliet maina mūsu attieksmi pret šo notikumu: tātad apgalvojumi par to, ka Mac OS X ir labāk aizsargāta pret ļaunprogrammatūru nekā Windows, vairs nav aktuāli. Nav runa par programmētāju kļūdu daudzumu, svarīga ir kibernoziedznieku ieinteresētība. Pirms KeRanger bija skaidrs, ka parastā ļaunprogrammatūra neinteresējas par Mac OS, bet ja vajadzēs uzlauzt konkrētu Macbook, tad uzlauzīs to kā mīļo. Taču tagad kļuvis skaidrs, ka arī „parastie” Trojas zirgi var bez grūtībām inficēt neaizsargātos Apple datorus. Ja tiek ļaunprātīgi izmantotas nevis sistēmas ievainojamības, bet gan ekosistēmas (programmatūras izstrādātāju un sertifikātu) trūkumi, Apple kontrole vairs nevar būt tik stingra kā iPhone gadījumā.

 

Brīdinājums par šifrējošo izspiedējprogrammu KeRanger programmatūras projekta Transmission vietnē.

Brīdinājums par šifrējošo izspiedējprogrammu KeRanger programmatūras projekta Transmission vietnē.

Interesanta detaļa: Palo Alto pētnieki uzskata, ka trīs dienu intervāls starp Trojas zirga uzstādīšanu un datu šifrēšanas sākumu ir ieviests tādēļ, lai maksimāli plaši izplatītu inficēto Transmission — sak, kamēr vēl nav pamanījuši… Bet tik un tā ātri pamanīja, tādēļ cietušo nav nemaz tik daudz. Kaitējuma ierobežošanu veicināja sekmīga pētnieku sadarbība ar inficētās programmas un operētājsistēmas izstrādātājiem.

Nopietna Facebook kļūda ļāva piekļūt jebkuram kontam

Pētnieks Anands Prakašs nesen programma „Bug Bounty” saņēma 15 000 ASV dolāru no Facebook par šī sociālā tīkla ievainojamības atrašanu, un šajā programmā tā ir liela summa. Ievainojamība bija patiesi bīstama, jo skāra no drošības viedokļa svarīgāko funkciju — paroles nomaiņu.

Kad lietotājs maina savu paroli, Facebook ļauj viņam apstiprināt šo darbību iepriekš pieteiktā ierīcē — tālrunī vai planšetdatorā. Tālrunī parādās sešu ciparu kods, kas jāievada vietnē. Bet sešu ciparu kodu diezgan viegli var atrast ar pārlasīšanu, ja sistēma nebloķē šādu darbību.

Gandrīz visas drošības sistēmas to bloķē, un tā dara arī Facebook —taču tikai galvenajā vietnē. Anands atklāja, ka FB alternatīvās vietnes — beta.facebook.com un msbasic.facebook.com (otrā apkalpo vecās ierīces) — par pārlasīšanu neliekas ne zinis. Parastā Facebook vietne bloķē pārlasīšanu apmēram pēc desmit mēģinājumiem, savukārt pārējās FB versijās, kuras droši vien tiek izstrādātas atsevišķi no galvenās, tādas bloķēšanas nebija, tāpēc no turienes varēja piekļūt jebkura lietotāja kontam. Zemāk redzamajā video parādīts uzbrukuma princips.

 

 

iOS 9.1 un jaunāku sistēmu paroles apiešana ar Siri palīdzību

Spriežot pēc tā, cik daudz ir ziņu par Apple tiesāšanos ar ASV iestādēm, iPhone tālruņu galvenā funkcija ir to aizsargāšana ar paroli. Protams, ka patiesībā tā gluži nav, tomēr parole (parasti — četru ciparu PIN kods) ir vienīgais, kas pasargā jūsu datus no ļaundariem, greizsirdīgas sievas vai vīra, no izmeklētājiem vai spiegiem.

Nu kārtējo reizi uzzinām, ka šīs paroles apiešanai ne vienmēr nepieciešama Apple izstrādāta „lūka” operētājsistēmā. Var izmantot arī kādu no dažādu funkciju „saskares” problēmām. Galvenā Apple nelaime ir tā, ka bez paroles darbojas vismaz dažas tālruņa funkcijas.

Uzņēmuma Vulnerability Lab pētnieki apgalvo, ka paroli var apiet, izmantojot Siri, turklāt šī problēma esot visām ierīcēm ar iOS 9.1 vai jaunāku operētājsistēmu, un pagaidām tā neesot atrisināta. Pētnieki apraksta vairākus veidus, kā apiet PIN kodu. Lūk, vienkāršākais: lieciet Siri atvērt lietotni, kura vēl nav uzstādīta tālrunī. Siri atvērs lietotņu veikalu, bet no turienes jau varat pāriet sākuma ekrānā bez paroles ievadīšanas. Pārējie paņēmieni ir līdzīgi, lai gan to īstenošana ir mazliet sarežģītāka.

Ievainojamību atrada šī gada janvārī, pēc tam trīs mēnešus risinājās sarunas ar Apple, un mazliet dīvaini, ka ziņas par to parādījušās pirms „ielāpa” izlaišanas. Vulnerability Lab pārstāvji apgalvo: uzņēmums Apple paziņojis, ka informācija pieņemta zināšanai, bet pēc tam vairs nav atbildējis. Zemāk redzamajā video Vulnerability Lab demonstrē paroles apiešanu.

 

 

Kas vēl notika pagājušajā nedēļā?

Bija daudz labojumu ievainojamībām, kurus nevajadzētu aizmirst uzstādīt. Ļoti nopietnas Adobe Flash ievainojamības. Tikpat nopietni Google Chrome caurumi. Un ļoti nopietnas Microsoft IE un Edge ievainojamības.

Notikumi Latvijā

9.martā E-prasmju nedēļas ietvaros CERT.LV rīkoja Datorologa akciju, kuras ietvaros ikviens varēja ļaut speciālistiem veikt viņa datora pārbaudi. Šīs Datorologa akcijas rekordists bija dators, kurā tika atrasti 1446 potenciāli ļaundabīgi faili. Kā atzīmē CERT.LV, viena no biežākajām problēmām ir neatjaunināta programmatūra un neapdomīga programmatūras instalēšana no nezināmām vietnēm. Otra populārākā kļūda ir daudzi antivīrusi uz viena datora, kas traucē viens otram strādāt un bremzē datora darbību. Nākamā Datorologa akcija gaidāma rudenī.

Pagājušajā nedēļā daudzi interneta lietotāji ziņoja par vairākkārtēju tādu e-pasta vēstuļu saņemšanu, kas pēc satura atgādināja šifrējošā izspiedējvīrusa Locky izplatītāju vēstules. Tas neizbrīna, jo kompānija Trustwave informēja par ļoti spēcīgu ļaunprogrammatūras īpatsvara pieaugumu surogātpasta plūsmā. Parastais rādītājs ir ap 2%, bet, galvenokārt, pateicoties Locky izplatītājiem, tas brīžiem palecās līdz 18%. Tas norāda uz ļoti intensīvu uzbrukumu globālā mērogā un mums atliek būt ļoti uzmanīgiem ar negaidītiem e-pasta sūtījumiem, ievērot drošības pasākumus un lietot iespējami spēcīgāku aizsardzības programmatūru.

Izmantoti Kaspersky Lab un CERT.LV materiāli.

Birkas:
Iepriekšējais raksts
Nākošais raksts

Komentēt

Jūsu e-pasts netiks publicēts. Obligātie lauki ir iezīmēti *

*

9 + = 13

Vislabākā aizsardzība, lieliskas cenas!
Uz augšu