Новости про безопасность и беспроводная связь

Трояны, которые могут заражать компьютеры через Wi-Fi не встречались более двух лет. Когда Emotet попадает на компьютер, он слушает доступные беспроводные сети, используя wlanAPI.dll. Вызвав эту библиотеку, троян может расшириться на любую доступную сеть.

После определения сетей, зловред запрашивает методы аутентификации и шифрования, и использует брутфорс для установления подключения. Будучи подключённым, он полагается на прописанные в нём команды HTTP POST, через которые обращается к своему удалённому командному серверу. Если зловреду не удаётся получить доступ к гостевой сети, он пытается брутфорсить учётную запись администратора. При успехе, он получает доступ к разделу «C», куда устанавливает прочие вредоносные приложения либо вытягивает персональные данные.

Лучшим способом защиты от Emotet является надёжный пароль к Wi-Fi. Он распространяется путём взламывания небезопасных паролей. Кроме того, он хранит базу паролей ранее взломанных сетей, и в первую очередь проверяет их. Также рекомендуется наблюдать за системной папкой TEMP, где вирус хранит свой файл инсталляции «setup.exe».

В апреле исследователи Мати Ванхоеф и Эйал Ронен выявили пять уязвимостей в протоколе WPA3. Теперь они выявили ещё две. Обе новые уязвимости позволяют проводить брутфорс-атаки на сетевые пароли WiFi.

Результаты исследования были переданы в WiFi Alliance, который теперь работает над исправлением ошибок, что может привести к выпуску спецификации WPA 3.1. Главной причиной выявленных уязвимостей исследователи считают закрытый процесс разработки, который не позволяет сообществу вносить свои корректировки и предотвращать появление больших ошибок в работе протокола.

По словам разработчиков, выявление подобных ошибок без сторонней помощи крайне затруднительно, а потому они считают, что приватная разработка стандартов и рекомендаций в области безопасности является крайне безответственным действием, приводящим к наихудшим результатам.

Атака CastHack была проведена двумя хакерами HackerGiraffe и j3ws3r. Первый из них через Twitter пояснил, что CastHack пользуется доступом у тех пользователей, которые включили сервис UPnP (Universal Plug'n'Play) в своих роутерах, пробросив специфичные порты из внутренней сети в Интернет.

Порты с номерами 8008, 8009 и 8443 обычно используются смарт ТВ, Chromcasts и Google Home для обеспечения различного функционала. Через эти порты пользователи могут отправлять команды со своих смартфонов на эти устройства для удалённого конфигурирования. Однако при неверной настройке эти порты становятся доступны всем.

Вебсайт, стоящий за атакой, подсчитал количество открытых телевизоров. Их количество перевалило за 3000, и все они посмотрели сообщение PewDiePie. Хакеры рекомендовали пользователям отключить UPnP в роутерах или запретить проброс портов 8008, 8009 и 8443.

Хакеры отметили, что таким образом «хотели помочь вам, а также любимым влогерам, в основном PewDiePie», — добавив, «Мы только пытаемся защитить и проинформировать вас об этой уязвимости до того, как кто-то реально воспользуется ею».

Уязвимость выявлена случайно исследователем Дженсом Стьюби при проведении тестов нового протокола WPA3. Сравнивая процесс подключения при обмене ключами Pre-Shared Key в WPA2 и Simultaneous Authentication of Equals в WPA3, он установил, что новая атака не требует присутствия конечного пользователя. Все известные методы взлома WPA2 основаны на перехвате процесса «рукопожатия» между пользователем и сетью и дальнейшей брутфорс-атакой. Метод, выявленный Стьюби, нацелен на единственный кадр в Robust Security Network Information Element, а потому не требует проведения подключения.

«В настоящее время мы не знаем, сколько производителей и как много роутеров уязвимы перед этой техникой, но мы думаем, что она сработает на всех сетях 802.11i/p/q/r с включённой функцией роуминга (большинство современных роутеров)», — сообщил Стьюби.

Протокол WPA3 был анонсирован в январе. Он использует 128-битное шифрование в персональном режиме и 192-битное в корпоративном. Также в нём технология разделённых ключей заменена на процесс одновременной аутентификации равных, что исключает возможность проведения атаки по методу Стьюби.

Компания собирает данные о вашем местоположении и перемещениях, даже при выключенной службе геолокации, даже без запуска приложений и даже без SIM карты. Это происходит с начала года, когда Android начала собирать сведения о близлежащих вышках сотовой связи, отправляя информацию назад в Google.

В ответ на запрос Quartz в Google сообщили: «Адреса сотовых вышек были включены в информацию, отправляемую системой в Google в целях использования её в push-уведомлениях и сообщениях на смартфонах Android ещё 11 месяцев назад. Она никогда не хранилась и не использовалась, и сейчас компания предпринимает шаги для прекращения этой практики после контакта с Quartz. К концу ноября телефоны Android больше не будут отправлять в Google данные о положении сотовых вышек, по крайней мере, как часть обычного сервиса».

В Quartz отметили, что не понимают, каким образом эти данные могут использоваться для улучшения доставки сообщений, зато отметили явную угрозу приватности, ведь указание сотовых вышек позволяет определить положение пользователя, а в густонаселённых районах с точностью до пары десятков метров.

Согласно данным исследовательской компании Armis, которая занимается вопросами цифровой безопасности, данная уязвимость позволяет хакерам, находящимся в зоне покрытия Bluetooth устройства (порядка 10 м), получить полный контроль над этим устройством без ведома пользователя.

Весь процесс абсолютно тихий и не требует действий пользователей, так что хакеры могут угнать устройство без ведома жертвы. Злоумышленники же получает высокий уровень доступа ко взломанному гаджету.

К счастью, эксплоит был создан самой лабораторией Armis и не был найден ни на просторах Интернета, ни в даркнете. Однако чтобы гарантированно обезопасить себя, необходимо обновить прошивки устройств. В частности Google уже подготовила патч для Pixel и других фирменных смартфонов. Подобный патч также вышел и для iOS 10.

Устройство, названное Norton Core, представляет собой роутер с установленными приложениями, который предлагает встроенные функции защиты всего дома. В компании Symantec отмечают, что устройство способно обезопасить в реальном времени до 20 подключённых к нему устройств, включая Windows компьютеры, Mac, телефоны, планшеты и любые устройства интернета вещей.

Роутер получает информацию о киберпреступности и механизмах защиты в реальном времени, позволяя обезопасить каждое подключённое устройство. В случае подключения инфицированного устройства, роутер может изолировать его от остальной сети, для предотвращения распространения инфекции.

Конечно, обеспечение безопасности на уровне роутера не является чем-то новым, однако на бытовом уровне это довольно редкое явление.

Наблюдать за сетью и онлайн угрозами можно посредством специального приложения, которое даже демонстрирует уровне безопасности вашей домашней Сети.

Что касается аппаратной части, то Norton Core представляет собой устройство размером 115x15x13 см. Он оснащён двухъядерным процессором частотой 1,7 ГГц, 1 МБ ОЗУ и 4 ГБ флеш-памяти. Роутер поддерживает стандарт связи 4x4 AC2600 Wi-Fi. Площадь покрытия сигналом роутера составляет 280—460 кв. м. Кроме Wi-Fi роутер предлагает 4 LAN порта.

Цена на Norton Core составляет 280 долларов США включая годовую подписку на средства безопасности Norton Core Security Plus. Далее за неё вам придётся выложить по 100 долларов в год.

Ошибка была обнаружена в системе ZynOS, которая была разработана ZyXEL и применяется как в продуктах самой ZyXEL, так и устанавливается на свой страх и риск энтузиастами на изделия от других производителей, включая TP-Link, ZTE и D-Link.

Для подтверждения выявленной проблемы был продемонстрирован взлом роутера D-Link DSL2740R, который провела болгарская группа «белых» хакеров под названием Ethical Hacking.

Ошибка в программе приводит к тому, что для внесения изменений в настройки не требуется даже соответствующий уровень доступа. Хакеры просто получили доступ к странице удалённой настройки роутера, также можно получить и доступ к локальной сети. Вредоносный код, исправленный прямо в браузере пользователя, можно использовать для проведения атаки через интерфейс и отправлять сообщения определенному IP адресу.

Это звучит как просто невозможный факт, но ведь раньше уже похожая проблема с роутером выявлялась, причём произошло это чуть больше года назад, в октябре 2013. Также в марте 2014 года была проведена атака по схеме мажсайтовой подделке запроса. Тогда Team Cymru выявила данную проблему на примере целой «зомби сети».

p.s. Прошивки от сторонних производителей действительно могут быть установлены в некоторые устройства D-Link (как в случае с установкой ZynOS на роутер), но при этом компания D-Link не несет ответственности за работоспособность модифицированного таким образом устройста, и более того, такое устройство снимается с гарантии, о чем указано на официальном сайте компании. И хотя это обычная практика гарантийного сопровождения устройств, энтузиастам не лишне будет об этом помнить, приступая к модификации (перепрошивке) устройств.

Виной всему оказалась служба операционной системы Android под названием Preferred Network Offload (PNO), которая позволяет телефону искать и подключаться к WiFi сетям, даже при выключенном экране устройства. В результате устройство меньше теряет заряд и снижает трафик через мобильные сети.

Оказалось, что устройство с включённым PNO и не подключенной к какой-либо WiFi сети может быть перехвачено кем угодно посредством этого же канала связи. После чего хакеры могут прочесть список последних доступных 15 сетей (SSID). Эти сети должны иметь названия, записанные простым текстом латиницей. Чтобы SSID сети попал в список, службе достаточно лишь опросить имя, но не подключаться к сети. Собрав эти данные воедино, и наложив их на существующую карту WiFi сетей, можно составить точный маршрут, по которому перемещался телефон.

У такого способа взлома есть и недостатки. Дело в том, что очень часто точки доступа имеют одноимённые названия с провайдером интернета, моделью маршрутизатора либо по названию сетевого кафе (например, McDonald’s). Однако в памяти устройства сохраняется не только имя сети, но и MAC адрес роутера, так что приложив немного больше усилий, можно провести точную идентификацию.

Представитель Google по этому поводу сообщил EFF: «Мы относимся к безопасности данных о местоположении наших очень серьезно, и мы всегда рады быть предупреждёнными о потенциальной ошибке как можно раньше. И хотя изменение в этом поведении потенциально приведёт к тому, что пользователи не смогут подключиться к скрытым точкам доступа, мы продолжаем изучать, что нам стоит изменить в будущем релизе».

Теперь, чтобы добавить новое устройство, вам больше не потребуется вводить пароль вручную или нажимать кнопки на неудобно расположенном роутере, достаточно будет просто прикоснуться смартфоном с поддержкой NFC к этому сетевому устройству.

Сейчас NFC всё активнее набирает популярность, и Wi-Fi Alliance ожидает, что этот стандарт будет всё чаще появляться в более простых устройствах. Это также позволит упростить подключение новых устройств к сети. К примеру, вы не сможете коснуться холодильником с Wi-Fi и NFC роутера, но можно легко прикоснуться к холодильнику телефоном, уже добавленным в эту сеть.

Сейчас NFC является третьей опцией настройки безопасности в арсенале WPS. Первые два включают ввод PIN-кодов и нажатие аппаратной кнопки. Чипсеты, поддерживающие новый тип авторизации уже готовят компании Broadcom, Marvell, Mediatek и Qualcomm. Что касается нынешних смартфонов, то им для работы с новыми методами авторизации потребуется лишь обновить прошивку.

Единственной возможностью для этого является встраивание в компьютер крошечного передатчика. При этом он должен быть действительно маленьким, чтобы уместится в такое устройство как, например, кабель USB. Затем, собрав информацию, АНБ может инициировать передачу данных по радиоканалу на расстояние до 8 миль, передавая необходимые сведения за миллисекунды. Издание сообщает, что с 2008 года, когда данная программа была внедрена, были перехвачены около 100 000 компьютеров, для внедрения необходимых микросхем.

Программа, названная Quantum, требовала физического доступа к оборудованию, за которым планировалась слежка, однако, как нам теперь известно, получить доступ к компьютерам было предельно просто, перехватив поставку аппаратного обеспечения.

По уверениям New York Times, все 100 000 компьютеров, подверженных модификации, не распространялись на собственный рынок США. Целью АНБ были военные ведомства России и США, наркокартели, европейские торговые институты и такие страны как Саудовская Аравия, Индия и Пакистан.

«Я недавно зацепился за факт того, что NetworkManager по умолчанию хранит Wifi профили, *включая чистые текстовые пароли* в каталоге ‘/etc/NetworkManager/system-connections/. Я думаю это не то, что он/она ожидают, включая шифрование домашней папки, и это как-то должно быть исправлено», — написал в своём письме Пер Гут.

Разработчики Ubuntu пояснили, что данная ситуация возникает из-за опции «Все пользователи могут подключаться к этой сети», которая включена по умолчанию. Чтобы исправить ситуацию достаточно открыть индикатор сети -> редактировать подключения -> выбор сети и нажать кнопку редактирования, после чего в общей вкладке снять флажок «Все пользователи могут подключаться к этой сети».

Отключение этой опции перенесёт пароли в соответствующую папку, но, к сожалению, вряд ли большая часть пользователей предпримет какие-либо действия, даже зная об этом факте.

Будет интересно узнать, изменится ли что-либо в будущем, или же в Canonical считают достаточным проведение ликбеза.

Эксперты в области этой мобильной ОС утверждают, что инструмент резервирования в системе выполняет свою работу таким образом, что копия WiFi паролей каждой сети, к которой когда-либо подключалось устройство, начинает храниться на серверах Google. К сожалению, это может означать, что в случае давления со стороны правительственных органов, компания может выдать эти данные.

В Android 4.2 сервис резервного копирования отмечает пароли к WiFi как данные, которые будут включены в копию, в то время как более ранние версии ОС отдельно не оговаривают это. Конечно, эту функцию можно выключить вовсе, но тогда пользователи потеряют другую полезную информацию в случае восстановления.

Главная проблема заключается в том, что Google хранит эти пароли. Причём хранит их в таком виде, что может прочитать их, при необходимости. Это становится ясно из того, что новые Android устройства могут подтягивать данные с серверов Google, среди которых старые пароли, данные входа и настройки устройства сразу после того, как вы ввели учётную запись Gmail и новый пароль.

Конечно, у этого подхода есть две стороны. К примеру, мы можем легко управлять паролями к разным устройствам и службам, но это же, в некоторой мере, снижает безопасность используемых нами сетей.

Конечно, этот факт нельзя назвать шокирующим. Скорее он выглядит странным, особенно учитывая последние инициативы компании. И непременно, такой подход вызовет бурю негатива, если правительство всё же потребует раскрытия этих сведений, а Google безоговорочно их выдаст.

Эксперт по безопасности Карстен Ноль (Karsten Nohl) отметил, что уязвимость в шифровании позволяет неавторизованным пользователям получить цифровой ключ SIM карты отправкой на устройство текстового сообщения, замаскированное под сообщение оператора. Получив доступ к цифровому ключу, Ноль может отправить вирус на мобильный телефон посредством нового текстового сообщения. Он добавил, что вирус позволяет ему прослушивать звонки, делать мобильные приобретения и даже «подражать владельцу телефона».

Ноль отметил, что весь процесс занимает менее двух минут, а под угрозой поражения оказались примерно 750 миллионов устройств по всему миру. Данная проблема была выявлена в SIM картах, в которых используются старый метод шифрования, известный как Стандарт по шифрованию данных (DES), используемый в половине всех сотовых телефонов в мире.

Исследователь пояснил, что три четверти сообщений, направленных на телефоны с шифрованием DES были распознаны SIM картой как поддельные. Он отметил, что остальная четверть устройств отправляла назад ошибку со служебной информацией, которая позволяла ему получить цифровой ключ SIM.