Kaspersky Lab - Vislabākā aizsardzība, lieliskas cenas!
Sākumlapa » Apdraudējumi » Drošības nedēļa 43 2016: uzbrukums Dyn serveriem, krāpnieki izliekas par tehniskās palīdzības dienestu, Linux ievainojamība

Drošības nedēļa 43 2016: uzbrukums Dyn serveriem, krāpnieki izliekas par tehniskās palīdzības dienestu, Linux ievainojamība

Pagājušās nedēļas galvenā ziņa bija uzbrukums uzņēmuma Dyn DNS serveriem. Spēcīgs DDoS uzbrukums sākās no rīta pēc ASV laika, notika divos posmos un uz dažām stundām padarīja daļēji vai pilnīgi nepieejamas daudzas Dyn klientu vietnes. Starp cietušajiem bija Twitter, Reddit, Github, Soundcloud, Spotify un citi. Patiesībā visas minētās vietnes darbojās, bet nebija pieejami DNS serveri, kas tās apkalpo. Tie nevarēja tīmekļa vietnes nosaukumu pārveidot par IP adresi, tādēļ no lietotāja viedokļa šo vietņu internetā vairs nebija. Kā jau parasts, liela sociālā tīkla pazušana izraisīja kļūmes un avārijas citās vietnēs, kurām ar to nebija nekāda sakara (piemēram, Twitter elementu kods bija „uzkāries” un neļāva ielādēt vietni The Register).

Vēlāk tika apstiprināts sākotnējais pieņēmums, ka uzbrukumu veicis IoT ierīču robottīkls Mirai, kas jau agrāk bija licis sevi manīt ar masveidīgu uzbrukumu Braiena Krebsa blogam. Mirai kods tika izlikts brīvā pieejā, tāpēc tagad pieaudzis tādu ierīču skaits, kurām veikts uzbrukums. Bet arī iepriekš tādu nebija maz: 380 tūkstoši, kā apgalvoja pirmkoda sākotnējais „īpašnieks”.

Nevar teikt, ka robottīklā iekļautās ierīces būtu uzlauztas: vairumā gadījumu tiek izmantotas banālas ievainojamības un noklusējuma paroles. OEM ražotājs Xiongmai, kurš ir daļēji atbildīgs par šo ierīču nedrošo aparātprogrammatūru, jau sācis ASV izņemt no pārdošanas savus izstrādājumus — tiesa, pagaidām tikai dažus tūkstošus IP videokameru. Par pārējām ierīcēm ir publicēti ieteikumi un izlaisti tām paredzēti aparātprogrammatūras atjauninājumi. Bet nevar zināt, vai visi ierīču īpašnieki atjauninās programmatūru.

Neaizsargāta lietiskā interneta problēma gūst jaunas izpausmes, lai gan IoT laikmets vēl nemaz nav īsti iesācies. Cerams, ka kāds beidzot sāks risināt tādu pēc noklusējuma neaizsargātu ierīču problēmu, kurām ir grūti vai nav ērti iespējams atjaunināt iebūvēto programmatūru. Tad uzbrukums Dyn serveriem būs devis pieredzi, kas nepieciešama, lai turpmāk labāk aizsargātos. Un tāda ir ļoti vajadzīga, jo uzņēmums Level3 apgalvo, ka šajā DDoS uzbrukumā piedalījušās tikai apmēram 10% ierīču no robottīkla, kurā iesaistīts pusmiljons šādu ierīču.

Microsoft brīdina par viltus antivīrusu Security Essentials, kuru izmanto krāpšanai pa telefonu

Microsoft speciālisti brīdināja par telefonisku kiberkrāpšanas paņēmienu. Šādi tipveida „uzbrukumi” rietumvalstīs parasti notiek tā: jums piezvana it kā no Microsoft tehniskās palīdzības dienesta, paziņo, ka jūsu dators ir pilns ar vīrusiem (vai vēl briesmīgākām lietām) un piedāvā attālināti atrisināt šo problēmu. Pēc tam ir iespējami dažādi varianti: vai nu jums liek lejupielādēt kaitīgo programmu, vai arī notiek attālināta pieslēgšanās jūsu datoram. Un pēc tam jums jāmaksā par „vīrusa likvidēšanu” vai par viltus programmatūras uzstādīšanu.

 

Viltus „zilais nāves ekrāns” (Blue Screen of Death — BSOD), kurš atšķiras no oriģinālā ar lieku teksta rindu apakšā.

Viltus „zilais nāves ekrāns” (Blue Screen of Death — BSOD), kurš atšķiras no oriģinālā ar lieku teksta rindu apakšā.

Bet šajā gadījumā viss notiek mazliet citādāk: internetā ir pieejama viltota Microsoft Security Essentials instalācija. Operētājsistēmās Windows 8 un 10 šo antivīrusu ir aizstājis Windows Defender, bet kāds varbūt iegaumējis veco nosaukumu un nu priecājas, ka „atradis” tādu programmu internetā. Pēc uzstādīšanas lietotājam tiek parādīts „zilais nāves ekrāns” (Blue Screen of Death — BSOD) ar „tehniskās palīdzības” telefona numuru; upuris uz to piezvana, un tālāk krāpnieki apstrādā viņu pa telefonu. Kaspersky Lab darbinieki ASV pārbaudīja — vēl pirms nedēļas šis telefons darbojās, un persona, kas atbildēja, pārliecinoši apgalvoja, ka viņi esot gods godam sertificēti un autorizēti. Jebkurā gadījumā šādi telefonkrāpnieki mēģina kaut ko pārdot lietotājam.

Bet Microsoft speciālistu ieteikums sakarā ar šo lietu ir vienkāršs: vajagot mācēt atšķirt īsto BSOD no viltotā.

Linux kodola ievainojamība ļauj lokāli iegūt root tiesības

Ievainojamība Dirty Cow („Netīrā govs”) ieguvusi šādu nosaukumu tādēļ, ka tajā izmantots Copy-On-Write (COW) mehānisms. COW lieto, lai optimizētu resursu izmantošanu, kad vairāki procesi pieprasa vienu un to pašu datu komplektu (piemēram, diskā). Tātad vajadzētu katru reizi izveidot jaunu datu kopiju, bet ar COW šāda kopija tiek izveidota tikai tad, kad process mēģina veikt izmaiņas informācijā. Kļūda Linux kodolā ļauj radīt race condition, kura rezultāts būs ieraksts oriģinālajā datnē, nevis kopijā — pat tad, ja ieraksta veikšanas iniciatoram nav šādu tiesību.

 

 

Interesantas detaļas ir ievainojamības labojuma apstiprinājuma lapā. Linuss Torvaldss raksta, ka mēģinājis izlabot šo kļūmi jau pirms 11 gadiem, bet toreiz radušās kaut kādas grūtības ar S390 arhitektūras sistēmām. Iespējams, ka toreiz tam nepievērsa uzmanību, jo praktiski race condition rašanās ir atkarīga arī no sistēmas ražīguma, un tolaik tāds uzbrukums nav uzskatīts par reāli iespējamu. Rezultātā šī ievainojamība ir visās Linux kodola versijās kopš 2007. gada un šobrīd nebūt ne visur izlabota. Nebūtu jau nekas briesmīgs, bet ir ziņas par iespējamu izmantojumu.

Kas vēl ir noticis?

Google izveidojis neironu tīklu, kurš pilnīgi patstāvīgi izstrādājis jaunu šifrēšanas algoritmu, aizsargājoties no cita mākslīgā protointelekta, kas mēģinājis atšifrēt datus. Neironu tīkla radītāji nav pārliecināti, ka pilnībā izprot algoritma darbību. „Noteikti nav XOR.”

Notikumi Latvijā

CERT.LV ziņoja par kādu uzņēmumu, kurš kļuvis par izspiedējvīrusa upuri. Uzņēmuma darbinieks atvēris .dot failu ar pievienotām kaitīgām makrokomandām un serverī, ko viņš izmantojis, tikuši nošifrēti faili. Datus izdevies atgūt daļēji.

Izmantoti Kaspersky Lab un CERT.LV materiāli.

Birkas:
Iepriekšējais raksts
Nākošais raksts

Komentēt

Jūsu e-pasts netiks publicēts. Obligātie lauki ir iezīmēti *

*

+ 85 = 92

Kaspersky Lab - Vislabākā aizsardzība, lieliskas cenas!
Uz augšu