Security Week 28: Приватность покемонов, критическая инфраструктура онлайн, постквантовая криптография в Chrome

566e9c48c1ee47678a9ab0306c385ef4.jpgКак, и тут покемоны?! А что делать: одним из основных критериев выбора значимых новостей по безопасности для меня по-прежнему является их популярность на Threatpost. Способ не идеальный, но достаточно объективный. Если в топе находится какая-то странная фигня, есть повод разобраться, как так получилось, как например это вышло с новостью про вредоносный код в метаданных PNG в топе 2014 года. Как правило объяснение таким казусам находится не в технических особенностях угрозы, а в том, как безопасность воспринимают люди. А это тоже интересно.

Новость про вредоносные приложения, маскирующиеся под Pokémon Go — она вообще на 100% про восприятие, точнее про то, что все вокруг сошли с ума. По данным исследователей из Proofpoint, киберпреступники воспользовались недоступностью игры в официальных магазинах приложений в ряде регионов, рассчитывая получить свои пять копеек незаконной прибыли от всеобщей популярности.

Впрочем, и в аутентичном приложении обнаружились проблемы. Исследователь Адам Рив обнаружил, что при регистрации учетной записи в игре, пользователям требуется предоставить полный доступ к своему аккаунту Google. То есть разработчик игры, компания Niantic Labs, получает возможность читать всю почтовую переписку, отправлять письма от имени игрока, может скачивать все документы с Google Drive, смотреть историю поиска и навигации, и многое другое. Примечательно, что на момент данного открытия альтернативный способ регистрации, не через Google, просто не работал.
Все выпуски дайджеста доступны по тегу.

Впрочем, сразу же выяснилось, что доступ можно и отменить, и на работоспособности игры это никак не скажется. Но пользователь должен сделать это сам. Очевидно, что разработчики допустили ошибку, в чем позднее и признались, пообещав все исправить. Разгребать руины конфиденциальности пришлось и в Google: им придется отменять привилегии для уже зарегистрированных пользователей, так как вендор сам это сделать, видимо, не может.

Ни один покемон не пострадал. Вся эта история еще раз доказывает: большинству пользователей, мягко говоря, безразличны вопросы приватности. Иначе блистательный старт первой по-настоящему популярной игры с дополненной реальностью был бы сорван. Но нет. И главное, бесполезно винить в этом игроков, если подобные ляпы допускают куда более осведомленные разработчики. Разрабатывать небезопасно, вести себя небезопасно — легко. Обратное куда сложнее. Думаю, что решать эту проблему нужно не на уровне законодательства (как это сделано, например, в довольно дурацком законе про отслеживание кук), а на уровне технологий. Необходимость работы с людьми (обучение практикам безопасной разработки, методам защиты конфиденциальности) это, впрочем, не отменяет.

91% доступных онлайн компонентов индустриальных систем уязвимы
Новость. Исследование «Лаборатории».

В интернете можно найти все, что угодно, просто надо знать, где искать. Эксперты «Лаборатории» использовали доступные всем инструменты, вроде специализированного поисковика Shodan, чтобы посчитать количество специализированных устройств АСУ, доступных из сети. Автоматизированные системы управления — это очень широкий термин, объединяющий как индивидуальные контроллеры солнечных батарей, так и системы управления крупными и критически важными объектами. Общее у них одно: светить контроллерами в интернет — не самая лучшая идея, и в большинстве случаев (когда это не honeypot, конечно) это индикатор неправильной конфигурации системы.

Подготовив довольно длинный список критериев, по которым можно идентифицировать системы АСУ, эксперты нашли более 220 тысяч таких устройств на 188 тысячах хостов. По странам они делятся так:

1be0a2093ffc4266825a1cb05b817734.png

Дальнейшее изучение этих устройств показало, что абсолютное большинство из них в той или иной степени подвержены атакам. Наиболее часто встречающийся критерий — зависимость устройств от незащищенных по своей природе протоколов передачи данных. То есть если система управляется удаленно, возможен перехват трафика с минимальными усилиями. На 6,3% хостов обнаружены системы с более серьезными уязвимостями. Больше всего было найдено контроллеров Sunny WebBox (управление солнечными батареями), о которых известно, что они содержат намертво вшитые пароли доступа.

Основной причиной подобных провалов в безопасности является распространенных в индустриальных системах подход security through obscurity: когда делается расчет на то, что не известно, какие контроллеры и протоколы используются, доступ к ним ограничен, а сами системы сложны для анализа даже для тех, кто владеет документацией. Собственно, исследование показывает, насколько данный подход плох.

Во-первых, подавляющее большинство информации в исследовании (сами уязвимые хосты, типы и характеристики уязвимостей) получены из открытых источников: ничто не мешает сделать то же самое людям с преступными намерениями. Во-вторых, использование незащищенных протоколов связи с расчетом на изоляцию устройств от интернета может выйти боком. Может произойти ошибка в конфигурации, причем в сложной инфраструктуре за настройку критически важного сегмента может отвечать один человек, а за сетевую безопасность другой, в результате проблема вылезает где-то на стыке полномочий. В-третьих, повторю свой вывод из предыдущего дайджеста: между «элитным» АСУ и «гражданским» интернетом вещей не такая уж большая разница на уровне железа и софта. Популярность IoT и связанный с этим рост количества атак рано или поздно могут принести проблемы очень и очень серьезным объектам инфраструктуры.

Google тестирует в Chrome постквантовую криптографию
Новость.

Спонсором этой новости является американское Агентство Национальной Безопасности, в прошлом году выпустившее коммюнике (уии!), в котором было высказаны сомнения в долговременной надежности некоторых методов шифрования. Подробнее об этом я писал вот в этой серии дайджеста. Если коротко, то прогресс в области квантовой криптографии требует внедрения новых стандартов, например, RSA с длиной ключа 3072 бита. То есть с одной стороны прогресса в создании квантовых компьютеров, способных ломать современную стойкую криптографию, на самом деле нет, с другой стороны — АНБ высказывает сомнения. Естественно, все это породило массу споров и теорий заговора, и про них можно почитать в том же выпуске.

Короче, Google кажется тоже что-то знает. Седьмого июля они сообщили о начале эксперимента с постквантовой криптографией в браузере Chrome. Конкретно, в девелоперской версии браузера Chrome Canary, у некоторых пользователей будет включена система шифрования подключения к серверам Google с помощью нового алгоритма. Система же построена на основе научной работы по внедрению постквантового алгоритма в протокол TLS. Алгоритм назван символически: «Новая надежда».

5ea939cdac184103ab5c2aee587a147c.png

Разработчики пишут, что эксперимент преследует две цели. Во-первых дать исследователям поломать практическую реализацию постквантового алгоритма. Во-вторых, оценить скорость и надежность соединения в такой конфигурации. В посте команды Google прямо говорится, что «Надежду» не планируется навязывать как новый криптостандарт, но кто знает, кто знает

Что еще произошло:
Оригинальная уязвимость в wget (хотя казалось бы, как можно сломать wget?).

Обсуждение системы шифрования данных в Android продолжается. К недавнему описанию конкретного метода атаки добавилась комплексная оценка системы KeyStore для хранения криптографический ключей. Общий вердикт: ненадежно.

1a3d8477c94641beaa19694292d10b54.pngДревности:
«Hallöchen»

Резидентный опасный вирус, стандартно поражает .COM- и .EXE-файлы (у .COM-файлов изменяет первые 6 байт начала: JMP Loc_Virus; DB (?); DW 5555h). В зависимости от «поколения» вируса периодически «шутит» с клавиатурой: при обработке клавиатурного прерывания подставляет другой символ. Замедляет работу компьютера — задержка на int 8. Перехватывает int 8, 16h, 21h. Содержит текст: «Hallöchen!!!, Here I’m Activate Level 1».

Цитата по книге «Компьютерные вирусы в MS-DOS» Евгения Касперского. 1992 год. Страницa 69.

Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.

Комментарии (6)

  • 15 июля 2016 в 18:18

    0

    Короче, Google кажется тоже что-то знает.
    Естественно, они же сами занимаются развитием квантовых вычислений.
    Седьмого июля они сообщили о начале эксперимента с постквантовой криптографией в браузере Chome.
    Идет ли речь о криптографии на решетках?
    • 16 июля 2016 в 00:00 (комментарий был изменён)

      +1

      Идет ли речь о криптографии на решетках?

      Да, о https://eprint.iacr.org/2015/1092.pdf если конкретно.
  • 16 июля 2016 в 01:55

    0

    Оригинальная уязвимость в wget (хотя казалось бы, как можно сломать wget?).

    Ну… как бы всегда качаем в специальную папку и по большей части с -O.
    • 16 июля 2016 в 07:55 (комментарий был изменён)

      0

      Даже если не с -O, всё равно вероятность находиться в домашнем каталоге не высока, это же банально неудобно — разгребать его потом. Да и прекрасно видно, что скачался не «safe-file.txt», a ».bash_profile».
  • 16 июля 2016 в 09:27

    0

    Хм. Но ведь в покемонах нашли банальный XSS в имени покемона на этой неделе, емнип.

    • 16 июля 2016 в 09:35

      0

      Но вообще да, количество людей, радостно отдавших доступ к своим гугл-аккаунтам, тревожит несколько больше.

© Habrahabr.ru