Security Week 10: RSA Conference и восприятие кибербезопасности
На прошлой неделе в Сан-Франциско прошла очередная конференция по кибербезопасности RSA Security 2020 — мероприятие, в котором бизнеса немного больше, чем технологий. Деловые особенности индустрии не менее важны, чем технические, хотя это взаимодействие и проходит под знаком некоего антагонизма: менеджеры по развитию бизнеса говорят красивые слова, а технарям скучно. Кстати, о словах: вот как эволюционировали главные темы RSA, баззворды отдельно взятой конференции, за последние пять лет. В 2016 году главной темой была безопасность IoT, в 2017-м — искусственный интеллект, в 2018-м — отсутствие серебряных пуль и простых решений в киберзащите, в 2019-м — проблема репутации.
В 2020 году президент RSA поднял тему разделения на технарей и бизнесменов, неожиданно превратив торжественное открытие в обсуждение реальной проблемы, пусть и общими словами: «О наших делах будут судить по тому, какая история о них будет рассказана. И мы хотим, чтобы это была история об успешном сопротивлении киберугрозам, а не технические байки о кибер-пинг-понге». То есть: сообщество IT-безопасников — закрытое, человеку со стороны непонятное, и надо это изменить. Делиться не только проблемами, но и успешными решениями: «Переформатировать культуру из элитарной в открытую».
Красивые слова, но стоит ли ожидать от технарей открытости — большой вопрос. Дело не в характере конкретных людей, а в особенностях работы, при которой требуется максимальная концентрация на мелких деталях, тот самый пинг-понг. Чтобы транслировать победы в IT-безопасности, надо уметь их объяснять словами, понятными общественности. Хотя бы сформулировать, что считать победой. Это получается не всегда, да и для многих участников индустрии данная задача является далеко не приоритетной. Кто придает культуре новый формат — тоже хороший вопрос: чаще всего этим занимается тот же нетехнический менеджмент, представителем которого является Рохит Гай. Выходит, что когда он требует с трибуны конференции RSA изменений, то требование адресовано ему самому? Это почетная задача. Сделать кибербезопасность понятнее, точнее помогать реалистичному восприятию этой сферы знаний необходимо. Иначе происходят ситуации, которые мы часто наблюдаем в последнее время: когда кибератаки и киберзащита обсуждаются в политической плоскости в полном отрыве от реального положения дел.
Кратко пробежимся по интересным выступлениям на RSA 2020. Криптограф Брюс Шнайер продолжил тему открытости, но под другим углом: он предлагает внедрить «культуру хакинга» (в данном случае — способность решать проблемы нестандартными методами) за пределами IT. Например, в законотворчестве или в налоговой политике. Иначе уязвимости в софте успешно находятся и закрываются, а прорехи в налоговом кодексе остаются там годами.
Исследователь Патрик Вардл рассказал о случаях реверс-инжиниринга вредоносного ПО на стороне киберпреступников. Изучая кибератаки на компьютеры Apple, он нашел примеры, когда злоумышленники берут распространяемый кем-то другим вредоносный код и адаптируют его под собственные нужды. Представители Checkmarx рассказали (новость, исследование) об уязвимостях в умном роботе-пылесосе. Пылесос снабжен видеокамерой, так что успешный взлом позволяет не только наблюдать за владельцами устройства, но и менять точку наблюдения при необходимости. Еще одно исследование на тему IoT посвящено уязвимостям в мониторе для наблюдения за ребенком.
В компании ESET нашли уязвимость Kr00k (новость, информация на сайте компании) в модулях Wi-Fi, позволяющую частично дешифровать трафик, передаваемый между устройствами. Подвержены модули, произведенные Broadcom и Cypress, используемые как в мобильных телефонах и ноутбуках, так и в роутерах. Наконец, панель криптографов (рудимент старых времен, когда RSA был нишевым междусобойчиком экспертов по шифрованию) снова прошлась по блокчейну. Криптографы не любят индустрию криптовалют за присвоение приставки «крипто», но в данном случае речь шла о применении блокчейна для выборов. Представитель МИТ Рональд Ривест привел результаты некоего анализа возможностей, вывод из которых — бумажные бюллетени надежнее. Даже с использованием блокчейна сложно создать программную систему регистрации голосов, которой можно было бы доверять.
Что еще произошло:
Критическая уязвимость нулевого дня в NAS-устройствах и брандмауэрах Zyxel. Эксплойт был обнаружен в открытой продаже на черном рынке. Баг позволяет выполнять произвольный код на устройстве, которое по определению должно быть доступно из сети, получая над ним полный контроль. Патч выпущен для большого количества устройств Zyxel, но не для всех — некоторые уязвимые NAS уже не поддерживаются.
Компания ThreatFabric обнаружила новую версию Android-трояна Cerberus, способного извлекать коды двухфакторной аутентификации из приложения Google Authenticator.
Ошибка в интеграции кошельков Paypal с платежным сервисом Google Pay ненадолго позволила красть средств без ведома владельца. Деталей нет, но предположительно злоумышленники нашли способ извлечения данных виртуальных платежных карт, которые создаются при привязке сервиса к Google Pay.
Исследователь из Германии показал «вредоносное» приложение для iOS, которое постоянно мониторит буфер обмена, доступный всем программам на телефоне. Логика исследователя: если в буфер копируется номер кредитки, злоумышленник может его украсть. Реакция Apple: да, но это же буфер обмена. Он должен быть доступен всем приложениям, иначе в нем нет смысла.