Vislabākā aizsardzība, lieliskas cenas!
Sākumlapa » Apdraudējumi » Drošības nedēļa 2016 12: FIB uzlauzīs iPhone bez Apple palīdzības, iMessage „caurums”, izspiedējprogramma slimnīcā

Drošības nedēļa 2016 12: FIB uzlauzīs iPhone bez Apple palīdzības, iMessage „caurums”, izspiedējprogramma slimnīcā

Pirms jaunumu uzskaitīšanas parunāsim par ievainojamību mārketingu. Tas ir samērā jauns termins, kas parādījās pirms dažiem gadiem, reizē ar Heartbleed — pirmo ievainojamību, kurai tika dots nosaukums un logotips. Nevar teikt, ka attieksme pret šo jaunievedumu būtu pozitīva: sak, uzņēmumi vai eksperti, kas atraduši programmatūrā „caurumu”, stingri tehniska apraksta vietā izmanto reklāmas valodu un tādā veidā iedzīvojas uz citu nelaimes rēķina.

Tam grūti piekrist. Lai arī kaut kādi reklāmas elementi te ir (un kur gan to nav?), katrs mēģinājums vienkāršos vārdos vai pat tēlaini izskaidrot sarežģītus tehniskus jautājumus, par kuriem jāzina arī nespeciālistiem, ir pelnījis tikai uzslavu.

Minētā tēma atkal uzpeldēja pagājušonedēļ, kad parādījās nevis informācija par jaunu ievainojamību, bet gan ievainojamības pieteikums. Uzņēmuma SerNet speciālisti, starp kuriem ir SMB protokola (pareizāk sakot, tā brīvās implementācijas Samba) izstrādātāji, paziņoja par nopietnu ievainojamību savā protokolā. Tā skar šo protokolu gan Linux, gan Windows operētājsistēmā. Bet neko sīkāk viņi nepaskaidroja, jo informācija tikšot sniegta tikai 12. aprīlī.

 

Badlock ievainojamības pieteikums īpašā minivietnē badlock.org.

Badlock ievainojamības pieteikums īpašā minivietnē badlock.org.

Kāpēc viņi tā rīkojās? Pētījuma autori uzskata, ka tādējādi potenciālajiem uzbrukuma upuriem būs iespēja sagatavoties. Tas ir diezgan strīdīgs apgalvojums. Šādas nostājas kritiķi uzsver, ka tādā veidā pētnieki patiesībā palīdzēs uzbrucējiem, ja vien tie apjēgs, par kādu ievainojamību ir runa (kaut vai pēc minivietnes Badlock nosaukuma). Vai tā vajadzēja darīt, mēs uzzināsim pēc divām nedēļām.

FIB lūdz atlikt tiesas debates ar Apple un mēģinās uzlauzt iPhone bez izgatavotāja palīdzības

Pagājušo pirmdien Apple prezentēja jaunas ierīces, un jau sarīkojuma sākumā uzņēmuma vadītājs Tims Kuks pieminēja FIB prasību: palīdzēt uzlauzt iPhone 5c, kas piederējis teroristam. Runājot par nākamajā dienā pēc prezentācijas paredzēto tiesas sēdi, Kuks lika saprast, ka viņa uzņēmums negrasās piekāpties vai padoties. Bet tagad to nemaz nevajadzēs darīt, jo pats FIB palūdzis pārcelt tiesas sēdi sakarā ar to, ka radusies iespēja atrisināt problēmu (tas ir, atbloķēt iPhone vai citādi iegūt no tā informāciju) bez izgatavotāja palīdzības.

Diezgan daudzi speciālisti uzskata, ka FIB jau sākumā būtu varējis patstāvīgi iegūt datus no tālruņa, bet uzņēmumam Apple izvirzītās prasības patiesībā ir mēģinājums vājināt visu tālruņu šifrēšanas sistēmu. Jebkurā gadījumā līdz piektajam aprīlim nav gaidāmi nekādi jaunumi par Apple un FIB cīņām, jo līdz šim datumam izmeklētāji cer tikt skaidrībā, vai viņu „alternatīvā metode” būs efektīva. Kāda ir šī metode? Tas nav zināms. Ir sazvērestību teorija par to, ka ASV Nacionālās drošības aģentūra (NSA) nolēmusi izlīdzēt FIB un no saviem krājumiem iedevusi kādu tālruņa operētājsistēmas ievainojamības ekspluatējumu.

Aģentūra Reuters (kā parasti — atsaucoties uz vārdā neminētu avotu) pavēstīja, ka uzlaušanu veiks Izraēlas uzņēmums Cellebrite. Pavecais iPhone 5c ir iekļauts to mobilo ierīču sarakstā, kuras šis uzņēmums „atbalsta”. Bet sarakstā nav jaunā iPhone 6s, un tā ir jauka nianse visā šajā lietā, jo ļauj izdarīt secinājumus, kurš tālruņa modelis un kādi iestatījumi jāizvēlas cilvēkiem, ja viņi grib pa īstam aizsargāt savu informāciju. Tātad — izmantojiet tikai visjaunāko iPhone (tā nav reklāma) un garu PIN kodu, bet vēl labāk — atbloķēšanas paroli no simboliem; noteikti neizmantojiet iCloud.

iOS 9.3 likvidē nopietnu iMessage šifrēšanas ievainojamību

Jaunā mobilo ierīču operētājsistēma, kuru Apple prezentēja pagājušo pirmdien, lepojas ar īpašu „nakts” režīmu ātrai aizmigšanai, taču tas nav svarīgākais jauninājums. Vissvarīgākā ir ievainojamības likvidēšana ziņojumapmaiņas sistēmā iMessage, jo daudzi iPhone lietotāji izmanto šo sistēmu tradicionālo SMS vietā. Dati, kurus sistēma pārraida, tiek šifrēti, taču Džona Hopkinsa Universitātes pētnieki bija atklājuši, ka aizsardzība nav pietiekami droša: uzbrucējs, izpildot dažus priekšnosacījumus, varēja iegūt upura sarakstes vēsturi. Uzbrucējs gan netiks klāt viedtālruņa datiem, bet varēs pārlūkot īsziņu vēsturi, kas serverī glabājas maksimāli 30 dienas. Bet varbūt nevarēs — viss atkarīgs no tā, vai mobilajā ierīcē darbojas jaunākā iOS versija.

Vēl viena Amerikas slimnīca kļūst par šifrējošās izspiedējprogrammas upuri

Nesen mediji ziņoja par to, ka šifrējošais Trojas zirgs uzbrucis kādai slimnīcai Holivudā. Toreiz šī slimnīca baidījās zaudēt svarīgus datus, tāpēc samaksāja prāvu izpirkuma maksu — 17 000 ASV dolāru. Pagājušajā nedēļā līdzīgas problēmas radās kādai citai slimnīcai ASV Kentuki štatā.

Drošības eksperts Braiens Krebss savā analīzē norāda, ka uzbrukuma metode nav bijusi īpaši oriģināla: slimnīcas darbinieks saņēmis un atvēris surogātpasta sūtījumu ar piesaistītu datni. Infekcija no viena datora izplatījusies visā lokālajā tīkla — droši vien caur koplietošanas mapēm. Rezultātā slimnīcas tīmekļa vietnē parādījies paziņojums par „ārkārtas stāvokli sakarā ar inficēšanos ar datorvīrusu”.

Šis vīruss, pareizāk sakot, Trojas zirgs, saucas Locky un izmanto jau gandrīz aizmirstu inficēšanas paņēmienu — ar kaitīgiem makrosiem ofisa dokumentos. Atšķirībā no iepriekšējā uzbrukuma Holivudas slimnīcai Kentuki mediķi nav samaksājuši izpirkuma maksu, lai gan šoreiz prasīts mazāk — tikai 4 bitmonētas jeb 1600 ASV dolāru.

 

Ja dokumenta saņēmējs iespējo pieprasīto makrosu izpildi, datorā tiek lejupielādēts un aktivizēts šifrējošais izspiedējvīruss Locky.

Ja dokumenta saņēmējs iespējo pieprasīto makrosu izpildi, datorā tiek lejupielādēts un aktivizēts šifrējošais izspiedējvīruss Locky.

Zināšanas par inficēšanas procesu ļauj iezīmēt aizsardzības paņēmienus. Un te nav runa tikai par to, ka drošības risinājumam aktīvi jābloķē ļaunprogrammatūra. Vēl būtu labi, ja: a) darbinieki nevērtu vaļā surogātpasta vēstules ar aizdomīgu piesaistīto datni; b) pēc inficēšanās netiktu pieļauta Trojas zirga strauja izplatīšanās lokālajā tīklā. Pirmo nodrošinās darbinieku apmācības drošības jomā, bet otro — pareizas dokumentu koplietošanas procedūras.

Kas vēl notika pagājušajā nedēļā?

Interesanta ziņa, kurai nav tieša sakara ar datoru drošību. Microsoft Research pētnieki palaida tērzēšanas robotu Tau. Izmantojot mākslīgo intelektu, Tau varēja pļāpāt ar Twitter lietotājiem (publiski vai ar DM) un pakāpeniski mācīties. Pēc divām dienām robotu nācās izslēgt, jo tīmekļa lietotāji tam bija samācījuši visādas nelietības.

 

Microsoft Research pētnieku radītā tērzēšana robota Tau Twitter konts.

Microsoft Research pētnieku radītā tērzēšana robota Tau Twitter konts.

Microsoft oficiāli paziņoja, ka noticis „koordinēts mēģinājums nekorekti izmantot Tau spēju komentēt ziņas”. Visi, kas komentē šo notikumu, vienā balsī žēlojas, ka internets esot pilns ar naidu un ka robots nemaz neesot vainīgs. Bet varbūt tomēr ir? Microsoft pētnieki apveltīja robotu ar spēju uztvert nestrukturētu informācijas plūsmu un inteliģenti uz to reaģēt. Tas ir brīnišķīgi. Bet lai neatgadītos šādas izgāšanās, mākslīgajam intelektam jāiemāca atšķirt “labo no ļaunā”. Viss ir relatīvs un būtībā nozīmē, ka robotam jābūt savai nostājai ļoti daudzos jautājumos.

Savukārt drošības jomā tas nozīmē, ka nedrīkst ticēt katram, kurš jums mēģina pārdot brīnumprogrammu, kura jūs aizsargās, izmantojot tikai „intelektuālos algoritmus”. Tā nedarbosies, jo arī drošības jomā jāprot ne vien konstatēt notikumus, bet arī tos pareizi novērtēt.

Notikumi Latvijā

Pagājušajā nedēļā CERT.LV izlaida 2015. gada pārskatu “Publiskais pārskats par CERT.LV uzdevumu izpildi 2015. gadā“. Par vērienīgāko pārskata periodā drošības incidentu atzīta CTB Locker šifrējošā vīrusa izplatīšanas kampaņa, kuras mērķis bija inficēt datorus ar vīrusu, kas sašifrē datorā esošos failus, prasot izpirkuma maksu.

Savukārt no CERT.LV iknedēļas ziņojuma mēs uzzinājām, ka kādai pašvaldības vietnei neatjauninātas satura vadības sistēmas dēļ ļaundari pievienoja datorvīrusu izplatīšanas rīku Angler. Apmeklējot tādu vietni ar ievainojamu interneta pārlūku, var tikt veikta automātiska un nemanāma datora inficēšana. Vēl CERT.LV atzīmēja, ka joprojām saņem daudz šifrējošā izspiedējvīrusa Locky paraugu, kas liecina, ka tā aktivitāte nemazinās.

Izmantoti Kaspersky Lab un CERT.LV materiāli.

Birkas:
Iepriekšējais raksts
Nākošais raksts

Komentēt

Jūsu e-pasts netiks publicēts. Obligātie lauki ir iezīmēti *

*

− 4 = 4

Vislabākā aizsardzība, lieliskas cenas!
Uz augšu