Kaspersky - īpaša aizsardzība pret šifrējošajiem izspiedējvīrusiem!
Sākumlapa » Apdraudējumi » Drošības nedēļa 21: atteikšanās no parolēm, vecas ievainojamības joprojām dzīvas, vīruss tīkla aparatūrā

Drošības nedēļa 21: atteikšanās no parolēm, vecas ievainojamības joprojām dzīvas, vīruss tīkla aparatūrā

Google plāno aizstāt autorizāciju ar paroli. Bet tā nav pirmā reize: pirms pusotra gada aizstāšanu uzsāka Twitter, kas piedāvāja lietotājiem iespēju veikt pieteikšanos ar vienreizlietojamiem kodiem uz mobilo tālruni. Apmēram tādu pašu paroļu aizstāšanas paņēmienu sāka lietot Telegram, bet liekas, ka nekas labs tur nesanāca. Tagad paroles grib aizstāt Google, kas to darīs novatoriski un azartiski — identificējot lietotāju pēc „rakstzīmju ievadīšanas ātruma, balss parauga, temperamenta, gaitas, sejas vaibstiem”.

Lasot šo ziņu grūti tikt vaļā no sajūtas, ka tas viss jau reiz ir bijis. Filmā „Pa asmeni skrejošais” un arī grāmatā cilvēki ar šādiem testiem noteica, kurš ir robots, bet te roboti noteiks, ar ko cits no cita atšķiras cilvēki. Taču princips ir viens un tas pats! Nākotne ir klāt. Šķiet, ka gaišā nākotne mums vairs vispār neļaus kontrolēt savas ierīces — tāpat kā jau neļauj mums pārvaldīt pašiem savus datus.

googleid

Projektu Abacus Google vispārīgi pieteica pērnajā „Google I/O” konferencē, bet šāgada konferencē paziņoja, ka jaunā tehnoloģija būs pieejama lietotājiem jau gada beigās. Abacus pamatā ir iepriekš minēto lietotāja paradumu izpētīšana, kuras rezultātā tiks sastādīts kaut kāds Trust Score (uzticamības rādītājs). Ja lietotāja uzvedība mainās, tad Trust Score samazinās, un pienāk brīdis, kad ierīce tiek bloķēta. Starp citu, šo Trust Score glabāšot pašā ierīcē, nevis Google serveros. Apmēram tāda pati nostāja lietotāja biometrisko datu vākšanas jautājumā ir uzņēmumam Apple.

Bet vai vispār vajag atteikties no parolēm? Domājams, ka vajag gan. Visa pagājušā nedēļa pagāja vienās ziņās par „noplūdušām” parolēm, kuras liecina, ka lietotāji joprojām aizsargā savus datus ar tādām kombinācijām kā, piemēram, 123321, bet uzņēmumi šīs paroles regulāri pazaudē. Paroļu pārvaldniekus izmanto pārāk maz.

Tāpēc ir pienācis laiks… Vispār paroles varam uzskatīt par datoru pagātnes atlieku — apmēram tādu pašu kā, piemēram, visu viena lokālā tīkla datoru savstarpējo uzticēšanos. Varam iet vēl tālāk un teikt, ka paroles pieder aizejošajam elektronisko skaitļošanas mašīnu programmēšanas laikmetam.

Nesen tieši par to Wired publicēja rakstu. Tāda programmēšana, kādu mēs pazīstam šodien, pilnībā tiks klasificēta kā zema līmeņa darbs, bet nākotnes programmētāji trenēs savus datorus un pēc tam replicēs rezultātus. Apmēram tāpat kā tagad dresē suņus. Var jau teikt, ka tas ir pārspīlēti, bet datora apmācīšana un Google pieeja drošības jautājumiem ir savstarpēji cieši saistītas lietas.

Nav šaubu, ka projekts Abacus ir perspektīvs, bet mēs tomēr vēl dzīvojam reālajā pasaulē, vai ne? Sākumā noies greizi viss, kas vien var noiet greizi. Tādēļ šaubas ir pilnīgi pamatotas: bet ja nu mana uzvedība mainīsies kaut kādu ārēju iemeslu dēļ — vai tādā gadījumā es vairs nevarēšu lietot savu viedtālruni? Un kādēļ datoram vispār būtu jāpieņem tādi lēmumi manā vietā? Joks par alkohola detektoru tālrunī, kurš bloķē īsziņas un čatošanu, laikam drīz vairs nebūs nekāds joks.

Vismaz sešas grupas veic mērķtiecīgus uzbrukumus, izmantojot pērn atrastu Microsoft Office ievainojamību

Kaspersky Lab eksperti publicējuši visai neparastu pētījumu par nopietnas Microsoft Office ievainojamības ļaunprātīgu izmantošanu. Tas ir neparasts tādēļ, ka šo ievainojamību atrada un izlaboja jau pērnajā septembrī, un strauji mainīgajā apdraudējumu pasaulē pērnais gads ir tas pats, kas pagājušais gadsimts: atrada, izlaboja — un aizgāja tālāk. Bet ar labojumu uzstādīšanu nav tik vienkārši. Pētījumā sīki parādīts, ka neaizsargātu sistēmu ir bezgala daudz, turklāt tādās infrastruktūrās, kuras nav pasargātas no mērķtiecīgiem uzbrukumiem.

Ievainojamība, kuru likvidēja ar labojumu komplektu MS15-099, piemīt MS Office versijām no 2007 līdz 2013 un ļauj izpildīt patvaļīgu kodu, ja lietotājs atver īpaši sagatavotu EPS formāta attēlu.

Pērnvasar šī „cauruma” dēļ notika sliktākais, kas vien var būt: uzbrukumi sākās jau augustā, kad vēl nebija izlaists labojums. Tagad redzam, ka arī labojums nav daudz līdzējis. Upuru vidū ir daudz uzņēmumu un valsts iestāžu Āzijā. Ekspluatējumu izmantoja vismaz sešas dažādas grupas, un četras no tām turpina darboties. Parasti viss sākas, kad tiek saņemta diezgan ticama pikšķerēšanas vēstule.

Vēstuli sūta anonīms, izmantojot open relay pasta serveri, bet ir norādīta „pareizā” sūtītāja adrese un pievienota īpaši sagatavota datne. Citā uzbrukumā izmanto korporatīvu serveri, tātad tas notiek jau no iepriekš ieņemtām pozīcijām upura infrastruktūrā. Paralēli izpaužas dažādu uzbrukumu savstarpējās saites. Piemēram, šķiet, ka vienai no grupām ir kopīga infrastruktūra ar kampaņu Adwind, kas vērsta pret Singapūras finanšu organizācijām.

Microsoft Office, kam nav uzstādīti labojumi, ļoti bieži kļūst par vārtiem, caur kuriem notiek mērķtiecīgi uzbrukumi, bet pēdējā laikā to sākuši izmantot arī šifrējošo izspiedējprogrammu autori, kuri „šauj bez tēmēšanas” (šeit ir interesanta ziņa par kārtējo viltīgo inficēšanas paņēmienu ar makrosiem). Secinājums ir ļoti vienkāršs: nedrīkst pieļaut, ka uzbrucēji izmanto jau zināmas un izlabotas ievainojamības. Ja labo, tad līdz galam.

Vīruss uzbrūk tīkla ierīcēm Ubiquiti

Vēl viena ziņa par to, cik svarīgi uzstādīt labojumus. Pētnieki no firmas Immunity atraduši visai dīvainu vīrusu, kas inficē tīkla ierīces Ubiquiti (piemēram, modeļus airMAX M, airMAX AC, ToughSwitch, airGateway un airFiber). Tā funkcijas drīzāk uzskatāmas par antīkām nekā par mūsdienīgām: izmantojot AirOS ievainojamību, vīruss izdzēš konfigurāciju un lietotāju vārdus aizstāj ar lamuvārdiem. Skaidrs, ka arī šāda rīcība nodara ļaunumu uzņēmumiem, tomēr tīkla maršrutētāju un piekļuves punktu uzlaušanai var būt daudz briesmīgākas sekas.

Ievainojamība piemīt AirOS versijai 5.6.2 un vecākām versijām, bet to izlaboja jau pirms gada. Kā redzam, līdz šim brīdim visi vēl nav paspējuši atjaunināt savu ierīču BIOS programmaparatūru. Kāpēc tas mani nepārsteidz? No visiem potenciāli apdraudētajiem infrastruktūras punktiem uzlaušanas gadījumā tīkla ierīces laikam gan rada vislielākās briesmas, jo būtībā tās ir vārtu atslēgas. Ražotāja pārstāvji apgalvo, ka nav bijis daudz šādu uzbrukumu, un piedāvā cietušajiem utilītprogrammu, ar kuru var „dabūt pie samaņas” tīkla aparatūru.

Kas vēl notika pagājušajā nedēļā?

Turpinājās stāsts par finanšu tīkla SWIFT uzlaušanu. Cietusi ne tikai Bangladešas Centrālā banka, bet arī finanšu organizācija Ekvadorā. Savukārt SWIFT pārstāvji vairs neizlikās, ka tas uz viņiem neattiecas, un ir sāka vismaz konfidenciāli sniegt informāciju par uzbrukumiem.

Tika ziņots, ka pavisam nesen atrastā Adobe Flash „nulles dienu” ievainojamība iekļauta trīs ekspluatējumu komplektos.

Notikumi Latvijā

CERT.LV ziņoja, ka kāda mājas lapa tikusi uzlauzta Joomla satura vadības sistēmas dēļ. Rezultātā vietnē tika ievietots un uzturēts izpildāmais fails, kas saturēja Locky izspiedējvīrusu. Apmeklējot lapu, lietotājam vīruss piegādāts netika, taču šādu, vietnē uzturētu vīrusu var izmantot mērķētiem uzbrukumiem, piemēram, izsūtot e-pastus ar dokumentiem, kuri norāda uz vietnē esošo, vīrusu saturošo failu.

Valsts policijas Ekonomisko noziegumu apkarošanas pārvaldes (ENAP) Kibernoziegumu apkarošanas nodaļa ziņoja, ka par vairāk nekā 1000 draugiem.lv lietotāju datu nelikumīgu iegūšanu aizturēti trīs nepilngadīgie. Noskaidrots, ka interneta vidē dažādos ārzemju resursos tikušas izveidotas un uzturētas vairākas viltotas mājas lapas, kas vizuāli bijušas identiskas vietnes draugiem.lv autorizācijas lapai. Portāla draugiem.lv lietotāju vidū sākotnēji ar vēstuļu sadaļas starpniecību tikusi izplatīta informācija ar aicinājumu piepelnīties, kā arī norādīta interneta vietne. Lietotāji, izmantojot saziņā norādīto saiti, nonāca mājas lapā, kas pēc izskata bijusi analoģiska draugiem.lv autorizācijas lapai. Šādā veidā veicot autorizēšanos, draugiem.lv lietotāji savus piekļuves datus faktiski nodevuši noziedzniekiem, kuri pēc tam nelikumīgi iegūtos virtuālās identitātes datus izmantoja, lai piekļūtu draugiem.lv lietotāju saziņas rīkiem un reklamētu interneta vietni, kas nodarbojas ar azartspēlēm. Šādā veidā krāpnieki bija mēģinājuši gūt peļņu par klientu piesaisti konkrētajai interneta azartspēļu vietnei.

Izmantoti Kaspersky Lab un CERT.LV materiāli.

Birkas:
Iepriekšējais raksts
Nākošais raksts

Komentēt

Jūsu e-pasts netiks publicēts. Obligātie lauki ir iezīmēti *

*

49 − = 45

Kaspersky - īpaša aizsardzība pret šifrējošajiem izspiedējvīrusiem!
Uz augšu