Vislabākā aizsardzība, lieliskas cenas!
Sākumlapa » Apdraudējumi » Drošības nedēļa 22 2017: atrasta Samba ievainojamība, ShadowBrokers aicina abonēt ekspluatējumus, pikšķerētāji masveidīgi apguvuši HTTPS

Drošības nedēļa 22 2017: atrasta Samba ievainojamība, ShadowBrokers aicina abonēt ekspluatējumus, pikšķerētāji masveidīgi apguvuši HTTPS

Stāsta, ka tad, ja ilgi skatās 445. portā, no turienes izlienot tīkla tārps. Pēdējās nedēļās tas piesaistījis tik lielu ievērību, ka ievainojamība atrasta pat NEIEVAINOJAMAJĀ (kā visiem zināms) Linux. Precīzāk, populārajā tīkla failu sistēmā Samba, bez kuras Linux ar Windows tīklā nedraudzējas.

Atrastajai ievainojamībai nav tieša sakara ar izspiedējvīrusa WannaCry kontekstā plaši pazīstamo ekspluatējumu komplektu, bet salīdzināt to noteikti var — tas pats protokols un līdzīgs izmantošanas scenārijs. Pietiks, ja ļaundaris atradīs Linux ar SMB resursu, kas atvērts ierakstam no interneta, un ielādēs tur bibliotēku, kuru serveris labprāt aktivizēs. Šo procedūru viegli var automatizēt, tātad ievainojamību var izmantot tīkla tārps.

 

Nenoguliet programmatūras atjauninājumu uzstādīšanu!

Nenoguliet programmatūras atjauninājumu uzstādīšanu!

Ksavjē Mertenss no SANS Internet Storm Center norādīja, ka šo ievainojamību var triviāli izmantot ar „ekspluatējumu, kas sastāv no vienas koda rindiņas”. Uzņēmums Rapid7 tūliņ veica interneta skenēšanu un atrada pasaules tīmeklī 104 tūkstošus sistēmu ar neaizsargātu Samba. Pēc tam atcerējās par 139. portu, skenēja arī to un atrada jau 110 tūkstošus sistēmu.

Starp citu, tām Samba versijām, ko izmanto 90% neaizsargāto sistēmu, joprojām nav izlaists labojums, tāpēc netiek ziņotas nekādas tehniskās detaļas. Ja jūsu krātuvei nav šāda labojuma, tad Mertenss iesaka datnes smb.conf sekciju [global] papildināt ar parametru nt pipe support = no. Vienkārši drošības labad.

ShadowBrokers nopludinās ekspluatējumus abonentiem

Pēc tirgus sagatavošanas, kuras rezultātā internetā brīvā pieejā parādījās ASV Nacionālās drošības aģentūras kiberieroči un mediji vienu brīdi burtiski pārpludināja pasauli ar ziņām par šifrējošo izspiedējvīrusu WannaCry, ShadowBrokers nolēmuši sākt pelnīt un paziņojuši, kāda būs hakeru instrumentu ikmēneša arhīvu abonēšanas maksa. Black hat večiem viss ir vienkārši — ja gribi, tad pērc, ja negribi — nepērc, bet baltajiem cepurniekiem jātiek galā ar sarežģītu ētisku dilemmu.

No vienas puses — neklājas maksāt naudu datornoziedznieku bandai. No otras puses — šie ekspluatējumi un Trojas zirgi noteikti nonāks ļaundaru rokās, tāpēc drošības speciālistiem jābūt gataviem veikt pretpasākumus. Vilcināšanās gadījumā ir iespējama epidēmija, kas būs sliktāka par WannaCry, tāpēc gan jau kāds IT drošības uzņēmums ir iegādājies abonementu. Cena — 100 Zcash (aptuveni $ 23 000) mēnesī — nav liela, ja ņem vērā efektīvo „reklāmas kampaņu” ar WannaCry palīdzību.

Šķiet, ka ShadowBrokers vēlas izprovocēt bruņošanās sacensību „balto” un „melno” hakeru starpā, lai pamatīgi nopelnītu uz tās rēķina. Grūti prognozēt, cik daudzi uzķersies uz šī āķa. Bet tagad vismaz ir skaidrāki organizācijas rīcības motīvi – tas ir noziedzīgs bizness.

Pikšķerēšanas vietnes masveidīgi izmanto HTTPS

Lietotājiem ilgi mācīja, ka internetā drošas ir tikai HTTPS vietnes. Sak, ja ir zaļa atslēdziņa pa kreisi no vietnes adreses jeb url, tad droši varat ievadīt sava konta rekvizītus. Nav brīnums, ka daudzi pie tā pieraduši un uzticas vietnēm ar zaļo atslēdziņu. Bet nevajag vis.

Šifrēšanas entuziastu tieksme nošifrēt visu internetu un visus sakarus tajā likusi parādīties automātiskiem sertifikātu izsniegšanas pakalpojumiem, piemēram, Let’s Encrypt. Kaut kā negribas to dēvēt par pārbaudes centru, jo faktiski jau nekas netiek pārbaudīts un apstiprināts. Tagad jebkurš pikšķerētājs pēc viltotas vietnes ierīkošanas nekavējoties iegādājas zaļo atslēdziņu, kura palīdz viņam muļķot cilvēkus.

Grupas Cisco Talos pētnieki secina, ka šāda nepieļaujama HTTPS izmantošana internetā kļuvusi masveidīga, tādēļ par to jāceļ trauksme. Saskaņā ar SSL Store datiem pērn izsniegti 15 270 bezmaksas SSL sertifikāti vietnēm, kuru domēnvārdā vai īpašnieka identifikatorā ir apzīmējums „PayPal”.

 

Viltota PayPal vietne ar drošības sertifikātu un "PayPal" vietnes adresē.

Viltota PayPal vietne ar drošības sertifikātu un “PayPal” vietnes adresē.

Pagaidām nav skaidrs, ko lai dara tālāk. Pat tad, ja izdotos iemācīt lietotājiem uzmanīgi lasīt url, tas nebūs glābiņš, jo ne jau vienmēr varam noteikt, vai tas ir pikšķerētāju domēnvārds, vai arī viens no daudziem likumīgiem organizācijas domēnvārdiem. Tāda pati nelaime ar sertifikātu pārbaudi, jo nepieciešams zināt precīzu juridiskās personas nosaukumu. Agri vai vēlu tehnoloģijas nodrošinās arī šīs problēmas risinājumu, bet pagaidām var ieteikt tikai turēt acis vaļā.

Izmantoti Kaspersky Lab materiāli.

Birkas:
Iepriekšējais raksts
Nākošais raksts

1 Komentāri

Komentēt

Jūsu e-pasts netiks publicēts. Obligātie lauki ir iezīmēti *

*

+ 71 = 73

Vislabākā aizsardzība, lieliskas cenas!
Uz augšu