Возвращение переполнения буфера
MITRE опубликовала новую версию рейтинга 25 наиболее опасных ошибок в ПО [1] – Common Weakness Enumeration (CWE) Top 25, которая не обновлялась с 2011 г. Причем разработчики нового списка сделали более понятную схему рейтингования угроз, привязанную как к количеству уязвимостей соответствующего типа, так и к уровню их опасности CVSS. В качестве исходной базы данных уязвимостей была выбрана National Vulnerability Database (NVD) Национального института стандартов и технологий США NIST. При составлении рейтинга были использованы результаты анализа 25 тыс. находящихся в этой базе уязвимостей, которые были включены в нее в течение последних двух лет. По результатам анализа на первое место вернулась уязвимость CWE-119 – «нарушение границ буфера памяти», т. е. переполнение буфера. Дело в том, что эта уязвимость была на первом месте в одном из трех рейтингов самого первого списка CWE Top 25 2009 г., однако в двух следующих – 2010 и 2011 гг. – уступила первенство SQL-инъекции (CWE-89) и даже инъекции команд операционной системы (CWE-78). Однако тогда была использована несколько иная методология подсчета рейтинга – менее прозрачная и основанная на мнениях экспертов из 20 компетентных организаций. Анализ базы данных по общим правилам и строго определенной формуле дал более точный результат и тем самым вернул заслуженное первое место переполнению буфера. Было бы интересно провести аналогичный анализ для базы угроз и уязвимостей ФСТЭК.
Страда для кибермошенников
Время новогодних распродаж, которые получили наименования «Черная пятница» и «Кибер-понедельник», является отличной возможностью для мошенников заманить доверчивых пользователей на свои вредоносные ресурсы. Тактику мошенников на период новогодних распродаж 2019 г. проанализировала компания ZeroFOX [2]. С 1 по 20 ноября минувшего года эксперты компании зарегистрировали 61 305 попыток подделаться под 26 брендов известных торговых марок. В подавляющем большинстве случаев (92,3%) в социальных сетях мошенники стараются выдать себя за продавцов товаров широкого потребления, бренды производителей электронной техники имитировались мошенниками только в 5,1% случаев, и всего в 0,2% сообщений была ссылка на производителей ювелирных украшений. При этом в более чем 11 тыс.сообщениях в социальных сетях мошенники намекали на получение подарков, в 4593 постах явно использовалось слово «праздник» (holiday), в 637 сообщениях речь шла о «Черной пятнице» и «Кибер-понедельнике».
Исследователи ZeroFOX также обнаружили более 124 тыс. фишинговых доменов, которые использовались мошенниками для подделки под те же 26 брендов. Оказалось, что в 33,8% случаев использовался бренд apple, еще в 12,7% – amazon и в 9,9% – target. В большинстве таких фишинговых доменов были ключевые слова, по которым можно было изначально заподозрить мошенничество. Так, в 47,5% случаев было использовано слово login, в 15,5% – verify, 14,9% – free. Кроме того, обнаружилось, что в 60 тыс. случаев посетителям фишинговых сайтов без их ведома устанавливались вредоносные расширения Chrome. Специалисты компании рекомендуют внимательно проверять URL-адреса посещаемых для шоппинга сайтов, проверять их SSL-сертификаты, не вводить персональную информацию и использовать специальный адрес электронной почты для регистрации на таких ресурсах.
2 Тбайт банковских данных
Хактивист Финес Фишер, который известен и как HackBack, опубликовал [3] в открытом доступе 2 Тбайта данных, которые он украл в Национальном банке острова Мэн (Каймановы острова). Среди опубликованной информации содержится 640 тыс. сообщений электронной почты, связанной с 1400 клиентами данного банка. Архив также содержит имена владельцев, их адреса и баланс 3800 банковских счетов. Руководство банка подтвердило факт взлома [4]. Хакер обвинил банк в отмывании денег при поддержке «российской олигархии» и других финансовых кругов. Впрочем, сам хакер заявил, что сам украл из банка несколько сотен евро, а также опубликовал вместе с архивом документов инструкции по взлому банковских систем. Хотя утечку данных сравнивают с «Панамским досье», новых фактов об используемых схемах отмывания денег пока не опубликовано.
Google предупредила разработчиков
Компания Google разослала в ноябре 12 тыс. предупреждений пользователям сервисов GMail, Drive и Youtube, которые предположительно были скомпрометированы хакерской группировкой Sandworm [5] («песчаный червь»). Схема вредоносной активности этой группировки оказалась достаточно сложной – они взламывали учетные записи разработчиков легальных приложений для Android и в определенный момент рассылали от их имени обновления, содержащие вредоносные коды. Причем эти обновления имели корректные электронные подписи и сертификаты, что не позволяло пользователям Android обнаружить постороннее вмешательство. Впрочем, специалисты Google смогли вовремя заметить подобные махинации и прервать их. Тем не менее, было принято решение предупредить разработчиков легального ПО для Android о том, что их учетные данные, возможно, скомпрометированы. Компания предполагает, что указанный взлом совершили хакеры группировки Black Energy, ранее замеченной в связях с российским правительством
Взлом на миллион
Компания Google объявила о расширении программы исследования безопасности своих технологий [6] и предложила хакерам премию в размере 1,5 млн долл. за взлом чипа Titan M, который является основой механизмов безопасности выпускаемых компанией устройств под торговой маркой Pixel. Строго говоря, за предоставление полностью работающего кода по взлому Titan M предлагается 1 млн долл., но параллельно компания предлагает хакерам программу по изучению предварительных версий своей операционной системы. И вот если в этой версии будет обнаружена уязвимость, тогда премия и будет максимальной – 1,5 млн долл. В программе изучения безопасности появились и другие нововведения – теперь премию можно получить и за обход блокировки экрана, и за организацию утечки информации. Собственно, программа Android Security Rewards (ASR), в рамках которой и проводятся выплаты за обнаруженные уязвимости в технологиях Android, существует с 2015 г., и за все время ее существования было получено 1800 сообщений об обнаруженных уязвимостях, а также выплачено премий более 4 млн долл.
[1] https://www.darkreading.com/vulnerabilities—threats/sql-injection-errors-no-longer-the-top-software-security-issue/d/d-id/1336481
[2] https://www.zerofox.com/blog/2019-black-friday-scams/
[3] https://www.hackread.com/hacker-leaks-2tb-of-cayman-national-bank-data/
[4] https://www.caymannational.im/news/banking/data-theft-at-cayman-national-in-the-isle-of-man
[5] https://www.theregister.co.uk/2019/11/28/google_12000_warnings_phishing_sandworm/
[6] https://security.googleblog.com/2019/11/expanding-android-security
