Kaspersky - īpaša aizsardzība pret šifrējošajiem izspiedējvīrusiem!
Sākumlapa » Apdraudējumi » Drošības nedēļa 27 2016: šifrēšanas apiešana Android ierīcēs, Conficker augšāmcelšanās medicīnā, IoT robottīkls

Drošības nedēļa 27 2016: šifrēšanas apiešana Android ierīcēs, Conficker augšāmcelšanās medicīnā, IoT robottīkls

Vai atceraties Android Mediaserver ievainojamību? Tie, kuri atceras, droši vien vēlēsies, lai tiek precizēts, par kuru no vairākām ievainojamībām ir runa. Mediaserver tiešām bija daudz ievainojamību, sākot ar bēdīgi slaveno Stagefright — pērn uzieto „caurumu”, kas ļāva pārņemt savā varā telefonu, nosūtot tikai vienu speciāli sagatavotu MMS multiziņu. Taču šoreiz aplūkosim citu ievainojamību, kuru maijā atrada uzņēmums Duo Labs. Toreiz tika paziņots, ka šī ievainojamība skarot tikai viedtālruņus ar Qualcomm aparatūru, bet tādi ir 60% visu Android ierīču.

Atšķirībā no Stagefright šis „caurums” nav tik viegli izmantojams: ierīcē ir jāielādē ļaunprogrammatūra, kura pēc tam piekļūst sistēmai, vienlaicīgi izmantojot Mediaserver un moduļa Qualcomm Secure Execution Environment ievainojamības. Minētā moduļa uzdevums ir sistēmas un datu aizsargāšana, tostarp arī šifrēšana. Sākumā tika parādīta iespēja saņemt sistēmas atļaujas, bet uz šifrēšanu šī ievainojamība neattiecās.

Tagad — attiecas. Tie paši eksperti nu ir noskaidrojuši, ka līdzīga ievainojamību kopa ļauj iegūt šifra atslēgu ar pārlasīšanas paņēmienu. Tāpat kā iOS, arī Android sistēmā ir aizsardzība pret paroļu pārlasīšanu, ir noteikti mēģinājumu biežuma un skaita ierobežojumi, bet tieši tos ir izdevies apiet.

 

Screen Shot 2016-07-18 at 01.10.47

 

Atklājumam var būt plašas un daudzpusīgas sekas, bet īpaši bīstams varētu būt jaunās ievainojamības programmaparatūras aspekts. Ja noliekam pie malas tehniskā izpildījuma problēmas, tad tomēr paliek iespēja atšifrēt datus jebkurā viedtālrunī, kas darbojas ar Qualcomm aparatūru — pat tad, ja programmatūras līmenī šī ievainojamība ir likvidēta.

Protams, ka vienkāršs uzbrukums ar pārlasīšanu jebkurai ierīcei nav iespējams, vajadzīga sadarbība ar ražotāju, bet tiesībsargāšanas iestādes taču var organizēt tādu sadarbību. Vai tas ir labi, vai slikti, par to varam strīdēties citreiz un citā vietā, bet jau tagad ir skaidrs, ka datu šifrēšanas sistēmas izpildījums daudzās Android ierīcēs nebūt nav ideāls.

Vecais tārps Conficker uzbrūk novecojušai medicīnas aparatūras programmatūrai

Starp visām nozarēm, kas atkarīgas no IT industrijas, medicīnu jau sen uzskata par vienu no ļoti ievainojamām. Pirmkārt, tādēļ, ka te glabājas un tiek apstrādāta ļoti konfidenciāla informācija. Otrkārt, tāpēc, ka slimnīcās, kam parasti trūkst naudas, prioritāšu sarakstā IT sistēmu atjaunināšana ir labi ja priekšpēdējā vietā. Treškārt, datorizētā medicīniskā aparatūra dažos aspektos ir līdzīga aparatūrai, ko lieto rūpnīcās — ļoti dārga un kalpo ļoti ilgi, tāpēc to reti nomaina. Un bez tās medicīnas iestādes nevar strādāt un glābt cilvēkiem dzīvību.

Tāpēc nav brīnums, ka dažs labs atcerējies, šķiet, jau sen aizmirstus paņēmienus, lai uzbruktu novecojušai aparatūrai. Vajag tikai veco kaitīgo kodu pārveidot, lai tas būtu derīgs jaunu uzdevumu izpildei. TrapX Labs pētījumā ir aplūkots tieši tāda uzbrukuma piemērs. Veikts mērķtiecīgs uzbrukums medicīniskai aparatūrai, kuras programmatūra ir novecojusi, un šī aparatūra izmantota kā „ieejas punkts” visas organizācijas datorsistēmā.

 

Medicīniskā aparatūra ar novecojušu programmatūru var tikt izmantota kā "ieejas punkts" organizācijas datorsistēmā

Medicīniskā aparatūra ar novecojušu programmatūru var tikt izmantota kā “ieejas punkts” organizācijas datorsistēmā

Uzbrukumā izmantots 2008. gada datortārps Conficker (saukts arī par Kido), kas savulaik inficēja miljoniem Windows XP datoru. Mūsdienu uzbrukumā Conficker uzdevums ir sākotnējā inficēšana. Pēc tam jau izmanto modernākas metodes, lai izplatītos tīklā un iegūtu datus.

Un te nekādi nevar aicināt lietotājus „atjaunināt sistēmu” — neviens taču neuzstādīs Windows XP labojumus, piemēram, tomogrāfam, bez tā ražotāja atļaujas, jo ļoti iespējams, ka pēc tam iekārta vairs nedarbosies. Vai nu jāņem vērā, ka tīklā ir arī šādas novecojušas sistēmas, vai arī tās katram gadījumam jāizolē no visa pārējā. Medicīnas iestāžu uzlaušanas sekas varam novērtēt pēc viena no aizpagājušās nedēļas sensacionālākajiem jaunumiem — par to, ka Dark Web tiek pārdoti dati par 655 000 pacientu, kas nozagti vairākās klīnikās.

Atrasts IoT robottīkls, kas spēj veikt DDoS uzbrukumus, kuru jauda pārsniedz 400 Gbit/s

Februārī RSA konferencē, vienā no svarīgiem IT drošības nozares sarīkojumiem, visi runāja arī par lietišķā interneta IoT drošību. Runa bija par to, cik tāda drošība ir svarīga un vajadzīga, bet patiesībā runātāji gribēja pateikt, ka šis aizsardzības virziens nav precīzi nosprausts. Kas tad īsti ir IoT ierīces? Ledusskapji ar pieslēgumu internetam? Arduino? „Gudrie” pulksteņi ar Wi-Fi? Tīmekļa kameras? Faktiski IoT ir viss nosauktais un vēl daži desmiti citu ierīču veidu.

Vēl nesen likās, ka IoT aizsargāšana ir ne visai tālas, tomēr nākotnes uzdevums. Sak, vēl ir laiks līdz brīdim, kad kibernoziedznieki sāks ļaunprātīgi izmantot lietiskā interneta galveno priekšrocību — milzīgo ierīču daudzumu. Bet izrādās, ka nākotne jau ir klāt. Pirmais brīdinājuma zvans atskanēja aizpagājušajā nedēļā, kad tika atrasts robottīkls, kurā bija iesaistīti 25 000 videokameru. Tas vēl nebija daudz, bet jau pagājušajā nedēļā Arbor Networks pētnieki atrada kaut ko iespaidīgāku.

 

Robottīkla Lizardstresser vadības serveru skaita izmaiņas. Avots: Arbor Networks.

Robottīkla Lizardstresser vadības serveru skaita izmaiņas. Avots: Arbor Networks.

Šķiet, ka robottīkla Lizardstresser autori jau diezgan sen piekopj savu noziedzīgo biznesu. Pērn tika manīts robottīkls, kurā galvenokārt ietilpa mājas maršrutētāji. Šogad uzbrukums skāris autonomas tīmekļa kameras. Jau sen zināms, ka tās nav īsti drošas un ka bieži vien šo trūkumu nekādi nevar novērst. Aparatūrprogrammatūra ir novecojusi un reti tiek atjaunināta, turklāt lietotāji parasti aizmirst noklusēto lietotājvārdu un paroli nomainīt ar savējo. Tīmekļa kameras nav grūti uzlauzt (šajā gadījumā lielākā daļa ierīču uzlauzta ar pārlasīšanu, izmantojot nenoslēgtu telnet ārējo saskarni), grūtāk ir apvienot ļoti daudzas nelielas ierīces. Šim nolūkam izmanto kliedēto tīklu ar desmitiem vadības serveru. Tāda struktūra var veikt DDoS uzbrukumus, kuru jauda sasniedz 400 Gbit/s. Pētnieki ziņo, ka šādi uzbrukumi jau notikuši dažiem uzņēmumiem Brazīlijā un vairākām organizācijām Amerikā.

Izmantoti Kaspersky Lab materiāli.

Birkas:
Iepriekšējais raksts
Nākošais raksts

1 Komentāri

Komentēt

Jūsu e-pasts netiks publicēts. Obligātie lauki ir iezīmēti *

*

16 + = 25

Kaspersky - īpaša aizsardzība pret šifrējošajiem izspiedējvīrusiem!
Uz augšu