Vislabākā aizsardzība, lieliskas cenas!
Sākumlapa » Apdraudējumi » Drošības nedēļa 39 2016: Yahoo uzlauzlaušana, iOS 10 rezerves kopiju paroļu pārlasīšana, makrosu ļaunprogrammatūra slēpjas no pētniekiem

Drošības nedēļa 39 2016: Yahoo uzlauzlaušana, iOS 10 rezerves kopiju paroļu pārlasīšana, makrosu ļaunprogrammatūra slēpjas no pētniekiem

Kas notika ar Yahoo? Kā mēdz rakstīt britu izdevums The Register, uzņēmumam! Yahoo! nozagts! pusmiljards! paroļu! Un svarīgi ne jau tas, ka nozagts tik daudz paroļu: uzskata, ka Yahoo indrastruktūra uzlauzta jau 2014. gadā, bet tikai tagad paroļu bāzes laistas pārdošanā.

 

 

Interesanti ir tas, kā Yahoo un pārējie reaģēja uz šo incidentu. Apspriežot uzlaušanu, atklājās daudz interesantu detaļu: pētnieki pievērsa uzmanību pašreizējam infrastruktūras stāvoklim, kāds tas izskatās no malas, un atzina, ka tur viss nav tik labi, kā gribētos. Nozagtajā bāzē līdz ar parolēm glabājās telefona numuri un cita personiskā informācija, bet daļa paroļu bija aizsargātas, izmantojot jaucējalgoritmu MD5, kas ir atzīts par nedrošu.

Šajā notikumā interesantākās ir sekas, kādas varētu būt tik lielam un plaši pazīstamam uzņēmumam. Parādījās pamatoti pārmetumi, ka Yahoo vadība zinājusi par incidentu, bet to slēpusi. New York Times, atsaucoties uz anonīmiem „insaideriem”, paziņoja, ka uzņēmums esot vienkārši taupījis uz drošības līdzekļiem, ieskaitot uzlaušanas konstatēšanas sistēmas.

Nu jau nonācis tik tālu, ka paroļu noplūdi apspriež Amerikas Kongresā, jo Yahoo uzskata, ka uzbrukumu organizējusi kāda valsts. Tomēr daudzi eksperti šo hipotēzi pārliecinoši apstrīd — uzbrukuma veids ir līdzīgs analoģiskiem LinkedIn un MySpace uzlaušanas gadījumiem, kuru apspriešanā bija daudz mazāk politikas. Jebkurā gadījumā notikums ar Yahoo ir zīmīgs attiecībā uz metodēm, ar kādām tiek reaģēts uz kiberincidentiem. Diemžēl uzlaušanas notiek, un skaidrs, ka ir vajadzīga stratēģija un instrumenti, lai tās atklātu un neitralizētu. Jo ātrāk, jo labāk — būs mazāk negatīvu seku.

Bet svarīgs ir arī kas cits. Nav izstrādāts veids, kā sabiedrībai paziņot par šādiem uzlaušanas gadījumiem, bet tāds noteikti vajadzīgs. Spriežot pēc uzkrātās pieredzes, maksimāli atklātu paziņojumu par visiem uzlaušanas aspektiem (labs piemērs redzams šeit) un problēmas risināšanas posmiem pozitīvi uztver visi iesaistītie — arī potenciāli cietušās personas.

Un vēl. Ja New York Times aprakstītā situācija ir patiesa, tad Yahoo vadība ir taupījusi ne tikai uz drošības rēķina vien. Ir tikuši pieņemti tādi lēmumi, kuros prioritāte bijusi nevis drošība, bet lietotāju ērtības, klientu bāzes saglabāšana un tml. Budžets ir smalka lieta, naudas nekad nav par daudz, tomēr stratēģija „no mums visi aizies, ja mēs piespiedīsim mainīt paroles katru reizi, kad būs aizdomas par uzlaušanu” noteikti ir lemta neveiksmei.

Apple samazina iOS 10 rezerves kopiju noturību pret pārlasīšanu. Neviens nezina, kāpēc.

Nesaprotama iemesla dēļ uzņēmums Apple samazinājis rezerves kopiju aizsargātību nesen izlaistajā iOS 10. Runa ir par visu iPhone vai iPad datu rezerves kopiju drošību, ko ar iTunes palīdzību saglabā lietotāja datorā. Jau diezgan sen rezerves kopijas tiek šifrētas, un šajā gadījumā nav šaubu par šifrēšanas stiprumu. Bet šaubas izraisa rezerves kopiju noturība pret paroļu pārlasīšanu.

Apple un FIB strīds šī gada sākumā ļāva saprast, ka ar parastajiem sistēmas līdzekļiem aizsargāta iPhone uzlaušana ir diezgan sarežģīts uzdevums. Skaidrs, ka rezerves kopija nav tik droša: tā glabājas datorā, kas lielākoties uzlaužams vieglāk nekā pats telefons (pat ja tas ir Mac dators) un — atšķirībā no telefona — neiznīcina datus, ja tos mēģina iegūt ar nelikumīgām metodēm. Bet rezerves kopijā ir visi tie paši dati, arī paroles no KeyChain glabātavas.

 

Paroļu pārlasīšanas ātruma atšķirības.

Paroļu pārlasīšanas ātruma atšķirības.

Uzņēmuma Elkomsoft speciālisti norāda, ka problēma ir iOS 10 rezerves kopiju piesaiste paroļu jaucējalgoritmam SHA-256 tikai ar vienu iterāciju. Operētājsistēmā iOS 9 tika izmantots pret pārlasīšanu noturīgāks algoritms PBKDF2 SHA-1 ar 10 000 iterācijām.

Elkomsoft izstrādā programmas, kas paredzētas dažādu ierīču un programmatūras aizsardzības apiešanai, un apgalvo, ka šī algoritmu maiņa ļaujot radikāli paātrināt paroļu pārlasīšanu. Tāpēc tagad rezerves kopiju teorētiski (ar 80-90% iespējamību) varot uzlauzt divās diennaktīs pat tad, ja izmantota samērā sarežģīta parole. Bet ja pavisam vienkārša, tad vēl ātrāk. Eksperti uzskata, ka tāds „uzlabojums” ir iespējams tikai kļūdas rezultātā. To faktiski atzinis arī uzņēmums Apple, jo apsolījis nākotnē palielināt paroļu noturību.

Pētnieks ziņo par makrosu Trojas zirgu, kas izvairās no analīzes

Lielu populariāti resursā Threatpost pagājušajā nedēļā izpelnījās ziņa par kaitīgu programmu, kas izplatās ar inficētiem MS Word dokumentiem un diezgan primitīvā veidā cenšas noslēpt savu patieso mērķi. Uzņēmuma SentinelOne pētnieks apraksta diezgan parastu situāciju: lietotājs saņem vēstuli ar piesaistītu MS Office dokumentu un atver to, parādās piedāvājums atļaut makrosu izpildi, lietotājs tam piekrīt. Tālāk jau ir interesantāk.

Pirmkārt, aktivizētais kaitīgais kods mēģina ar ārēja pakalpojuma palīdzību noskaidrot tā datora IP adresi, kurā sācis darboties, kā arī organizāciju, kurai piesaistīta šī IP adrese. Ja nosaukums ir kaitīgajā programmatūrā iebūvētajā sarakstā (tur galvenokārt drošības programmatūras ražotāji), tad vairāk nekas nenotiek.

Nekas nenotiek arī tādā gadījumā, ja sistēmā neatrodas neviens MS Office dokuments — laikam tādā veidā tiek pārbaudīta kaitīgā koda palaišana virtuālā vai izmēģinājumu sistēmā. Ja visas pārbaudes ir sekmīgas, tad ar Powershell skripta palīdzību tiek lejupielādēts un palaists taustiņsitienu reģistrētājs.

Mūsdienu kaitīgai programmai tās ir interesantas īpatnības, tomēr pats kaitīgā koda autora mēģinājums izvairīties no atklāšanas nav nekas jauns. Vienīgais īpatnējais moments ir MS Word makrosu izmantošana kombinācijā ar tādiem trikiem. Makrosu kaitēkļus samērā nesen „atdzīvināja” šifrējošo izspiedēju programmu autori. Šajā gadījumā neviens neprasa izpirkuma maksu, bet te ir padarīts vismaz nedaudz sarežģītāks diezgan primitīvs kaitēklis, ko jebkura drošības programmatūra bloķē uzreiz — kaut vai tad, kad tiek mēģināts lejupielādēt taustiņsitienu reģistrētāju. Skaidrs, ka tādi paņēmieni noteikti nesamulsinās pieredzējušu vai vienkārši neatlaidīgu pētnieku.

Izmantoti Kaspersky Lab materiāli.

Birkas:
Iepriekšējais raksts
Nākošais raksts

Komentēt

Jūsu e-pasts netiks publicēts. Obligātie lauki ir iezīmēti *

*

+ 53 = 54

Vislabākā aizsardzība, lieliskas cenas!
Uz augšu