Новости про безопасность и уязвимости

Чтобы снизить риски возникновения подобных ошибок в будущем, Linux Foundation анонсировала организацию новой группы, которая должна помочь предотвратить возникновение новых проблем, подобных Heartbleed .

В эту группу, названную Core Infrastructure Initiative, вошли ряд компаний, включая таких гигантов как Microsoft, Google, Intel, Amazon, Facebook, Dell, IBM. Основной целью группы станет помощь членам ассоциации свободного ПО в проектах, которым требуется поддержка, и первостепенной задачей станет помощь OpenSSL. Члены Core Infrastructure Initiative постараются вложить в проект средства, чтобы повысить его безопасность, наряду с ускорением выпуска патчей.

По поводу присоединения к группе компания Microsoft, в лице директора по программной безопасности Стива Липнера, сообщила: «Безопасность — это вопрос, касающийся всей отрасли и требующий сотрудничества всей отрасли. Core Infrastructure Initiative согласуется с нашим участием в проектах с открытым исходным кодом и улучшении в разработке безопасности во всех платформах, устройствах и сервисах».

Кроме членов-участников группы каждый имеет возможность помочь повысить безопасности финансово. Эти средства будут использованы Linux Foundation и/или проектом Core Infrastructure Initiative.

Исследовательская фирма FireEye утверждает, что в мире было загружено порядка 150 миллионов приложений для Android, уязвимых к ошибке Heartbleed. И что ещё хуже, в Google Play полно уязвимых приложений, которые никак не сортированы, а значит, вам будет крайне неудобно узнавать, уязвима ли ваша любимая программа.

 «Приложения Android часто используют родные библиотеки, которые напрямую или косвенно касаются уязвимых библиотек OpenSSL», — отмечают исследователи. «Поэтому, несмотря на то, что платформа Android не подвержена уязвимости сама по себе, взломщики по-прежнему атакуют её уязвимые приложения. Они могут украсть сетевой трафик, перенаправить приложение на вредоносный сервер и затем послать приложению поддельное подтверждение heartbeat, чтобы украсть важный контент из памяти».

10 апреля специалисты FireEye установили, что уязвимые приложения были загружены 220 миллионов раз, однако спустя неделю их количество уменьшилось до 150 миллионов. Так что не всё плохо, есть и хорошие новости. Похоже, что авторы приложений достаточно быстро исправляют свои программы, делая их безопасными к Heartbleed.

В недавней статье Bloomberg «источник близкий к происходящему» заявил, что АНБ «регулярно использовало ошибку для получения критично важных сведений», в то же время никак не предупреждая о ней разработчиков OpenSSL.

«Поместив ошибку Heartbleed в свой арсенал, АНБ могла добывать пароли и прочие основные данные, которые составляли блоки превосходных операций хакеров, стоящих в основе его миссии, однако ценой миллионов обычных пользователей, которые оказались уязвимыми к атакам прочих государственных разведывательных структур и криминальных хакеров».

В дирекции Национального разведывательного совета США опровергли данные сведения, заявив, что федеральное правительство ничего не знало о Heartbleed, пока об ошибке не сообщили исследователи в области безопасности. Там пояснили, что федеральные агентства скорее заинтересованы в выявлении уязвимостей, чем в сохранении их для разведывательных целей, поскольку этот подход полностью соответствует позиции «абсолютной национальной безопасности».

В дирекции сослались на таковые рекомендации Белого Дома, сообщив, что они называются Vulnerabilities Equities Process (что можно перевести как «обычный процесс работы с уязвимостями»), которые направлены на выявление ошибок подобных Heartbleed.

Используя эту ошибку, атакующие могут перехватывать коммуникации, воровать данные непосредственно у служб и пользователей и деперсонализировать их. В ошибке используется «heartbeat» — расширение OpenSSL, поэтому уязвимость была названа «Heartbleed».

В результате злоумышленники могут запрашивать с вэб серверов данные, содержащие ключи SSL шифрования, пользовательские пароли и прочую важную информацию.

Инженер Google, выявивший ошибку, на Codenomicon сообщил: «Ошибка Heartbleed позволяет кому угодно в Интернете прочитать память систем, защищённых уязвимой версией ПО с OpenSSL. Это компрометирует секретные ключи, используемые для идентификации провайдеров интернета и шифрования трафика, имена и пароли пользователей, и текущий контент. Это позволяет хакерам подслушивать коммуникации, воровать данные непосредственно у служб и пользователей и деперсонализировать службы и пользователей».

О том, когда планируется исправление такой важной уязвимости, пока не сообщается.

Вскоре после релиза Xbox One в прошлом году родители пятилетнего Кристофера Фон Хасселя заметили, что он как-то входил в учётную запись Xbox Live своего отца и играл в игры, в которые не должен был бы играть. Когда возник вопрос о том, как он это делает, Кристофер показал, как ему это удаётся.

Как-то после ввода неверного пароля Кристоферу предложили пройти повторную верификацию пароля. Случайно, введя лишь пробелы, он получил желанный доступ.

Отец с сыном составили отчёт в Microsoft. Ошибка была исправлена, и Кристофер получил четыре игры для Xbox One, 50 долларов и годовую подписку на Xbox Live.

В заявлении на этот счёт Microsoft написала, что компания всегда прислушивается к потребителям и благодарит их за обращение их внимания на имеющиеся проблемы. Также компания объявила, что серьёзно относится к безопасности и исправляет ошибки максимально быстро после того, как ей становится известно о проблеме.

Удивительно, но Кристофер уже не первый раз выявил уязвимость. По словам его отца, он сумел обойти блокировку на смартфоне, просто долго нажимая кнопку «Дом». И сделал он это в возрасте 1 года.

Недавно была выявлена целая масса уязвимостей в бытовых роутерах, а теперь эта тенденция распространяется и на видеорекордеры. Так, ARS Technica написала, что исследователи раскрыли вредоносное ПО, которое заражает их видеорекордеры Bitcoin трояном.

Исследователи из института оценки безопасности Sans выявили троян, добывающий Bitcoin и заразивший DVR. Исследователи выявили инфекцию во время поиска источника автоматизированных скриптов, которые сканируют интернет в поисках устройств хранения данных выпущенных Synology. Они случайно обнаружили, что бот также работает и на DVR с процессорами ARM, но не узнали чего-либо ещё. Позже они установили, что он был частью сборщика Bitcoin, который берёт контроль над DVR, используемых для записи с камер безопасности, в большинстве случаев используя порт Telnet с паролем по умолчанию «12345». Они сообщили, что образцы вредоносного ПО уже добыты, а пароль для доступа к бинарному файлу — «infected».

Позже исследователи из Sans также отметили, что этот код также инфицирует роутеры, даже настроенные в режиме NAT, который обычно помогает повысить безопасность устройств.

И вот вскоре после этого Mozilla объявила о блокировке поддельного дополнения Microsoft .NET Framework Assistant. Вредоносный компонент был удалён автоматически, так что пользователям не потребуется проводить никаких действий. «Мы отключили мошенническое дополнение Microsoft .NET Framework Assistant, использовавшее Advanced Power как часть своих атак», — заявил представитель Mozilla в своей рассылке. После чего он дал традиционные рекомендации в плане безопасности, вроде использования многоуровневой системы защиты, которая включает антивирус, а также отказ от установки неизвестных приложений.

Что касается самого ботнета, то он уже успел собрать более 12 500 компьютеров. Киберпреступники используют вредоносное ПО для слежения за сайтами, которые посещает инфицированная машина в попытках внедрить уязвимости SQL кода. После чего они используют найденные уязвимости для получения информации из баз данных вебсайтов.

Команда безопасности в Adobe выяснила, что компания подверглась «изощрённой атаке на их сеть», как они её назвали. В результате, эта атака затронула не только пользовательские данные, но и открыла хакерам доступ к исходным кодам множества продуктов компании. Выдержка из заявления приведена ниже:

«Наше следствие сейчас отмечает, что атакующие получили доступ к клиентским ID и зашифрованным паролям нашей системы. Мы также считаем, что атакующие извлекли из наших систем некоторую информацию о 2,9 миллионах клиентов Adobe, включая имена клиентов, зашифрованные номера кредитных или дебетовых карт, даты окончания их действия и прочую информацию имеющую отношение к приобретениям клиентами. В настоящее время мы не считаем, что атакующие извлекли расшифрованные номера кредитных или дебетовых карт из наших систем.

Мы также расследуем нелегальный доступ к исходным кодам множества продуктов Adobe. Основываясь на наших находках мы не осознаём какого-либо повышения рисков для наших клиентов в результате этого инцидента».

Для уменьшения возможных последствий утечки, компания предприняла ряд мер. К примеру, были сброшены все клиентские пароли с рассылкой пользователям уведомлений о происшедшем по электронной почте.  Также компания связалась с теми клиентами, номера чьих платёжных карт были украдены. В дополнение Adobe уведомила банки, которые обрабатывали клиентские платежи для компании и связалась с федеральными органами законодательного надзора и обязалась помогать следствию.

Эксперты в области этой мобильной ОС утверждают, что инструмент резервирования в системе выполняет свою работу таким образом, что копия WiFi паролей каждой сети, к которой когда-либо подключалось устройство, начинает храниться на серверах Google. К сожалению, это может означать, что в случае давления со стороны правительственных органов, компания может выдать эти данные.

В Android 4.2 сервис резервного копирования отмечает пароли к WiFi как данные, которые будут включены в копию, в то время как более ранние версии ОС отдельно не оговаривают это. Конечно, эту функцию можно выключить вовсе, но тогда пользователи потеряют другую полезную информацию в случае восстановления.

Главная проблема заключается в том, что Google хранит эти пароли. Причём хранит их в таком виде, что может прочитать их, при необходимости. Это становится ясно из того, что новые Android устройства могут подтягивать данные с серверов Google, среди которых старые пароли, данные входа и настройки устройства сразу после того, как вы ввели учётную запись Gmail и новый пароль.

Конечно, у этого подхода есть две стороны. К примеру, мы можем легко управлять паролями к разным устройствам и службам, но это же, в некоторой мере, снижает безопасность используемых нами сетей.

Конечно, этот факт нельзя назвать шокирующим. Скорее он выглядит странным, особенно учитывая последние инициативы компании. И непременно, такой подход вызовет бурю негатива, если правительство всё же потребует раскрытия этих сведений, а Google безоговорочно их выдаст.

Таковы результаты быстрого опроса, проведённого Newtek — The Small Business Authority. Из 2700 респондентов 86% считают, что их сайты находятся в безопасности. Кроме того, 41% бизнесменов уверены, что именно вебсайт является главной движущей силой для их бизнеса.

Конечно, нет нужды уточнять, что большинство экспертов в безопасности и хакеров скажут вам, что эти сайты крайне легко взломать. Фактически, недавний опрос показал, что 86% вебсайтов, протестированных WhiteHat Security, содержат как минимум одну серьёзную уязвимость.

«Мы ценим ответы наших клиентов, которые показали нам важность их нужд, проблем и восприимчивость их бизнесов. Мы считаем, что наши независимые владельцы бизнеса не очень озабочены кибер-безопасностью, хотя им следовало бы», — прокомментировал ситуацию Барри Слоен, глава, президент и исполнительный директор The Small Business Authority.

«Иронично, что они оценили своё присутствие в интернете как предельно важный аспект их бизнеса, но при этом имеют легкомысленное отношение к природе безопасности их контента и данных».

Эксперт по безопасности Карстен Ноль (Karsten Nohl) отметил, что уязвимость в шифровании позволяет неавторизованным пользователям получить цифровой ключ SIM карты отправкой на устройство текстового сообщения, замаскированное под сообщение оператора. Получив доступ к цифровому ключу, Ноль может отправить вирус на мобильный телефон посредством нового текстового сообщения. Он добавил, что вирус позволяет ему прослушивать звонки, делать мобильные приобретения и даже «подражать владельцу телефона».

Ноль отметил, что весь процесс занимает менее двух минут, а под угрозой поражения оказались примерно 750 миллионов устройств по всему миру. Данная проблема была выявлена в SIM картах, в которых используются старый метод шифрования, известный как Стандарт по шифрованию данных (DES), используемый в половине всех сотовых телефонов в мире.

Исследователь пояснил, что три четверти сообщений, направленных на телефоны с шифрованием DES были распознаны SIM картой как поддельные. Он отметил, что остальная четверть устройств отправляла назад ошибку со служебной информацией, которая позволяла ему получить цифровой ключ SIM.

По данным Bluebox Security эксплоит, который существует уже на протяжении 4 лет в ОС Android, начиная с версии 1.6, позволяет хакерам модифицировать код приложений без нарушения его криптографической подписи. А это, теоретически, может превратить вполне законные программы в троянцев.

Фирма отмечает, что вредоносные приложения не будут «никак определяться в магазинах приложений, телефоне или пользователем», дополнительно хакеры могут использовать уязвимость, чтобы выполнять практически любое действие с устройством. Самой же сложной частью в распространении этой угрозы будет заставить пользователя установить подозрительное стороннее обновление для программы. Но как показывает опыт с завирусованными клонами браузера Opera, с невнимательным и необразованным пользователем это сделать довольно просто.

При этом технический директор Bluebox Джефф Форристал подтвердил CIO, что, к примеру, Samsung уже исправила уязвимость в Galaxy S4, сделав, таким образом, этот смартфон единственным Android устройством, защищённым от свежевыявленного эксплоита. Google также объявила о том, что готовит исправления в устройствах Nexus.