Трудные выборы
Когда в США выбирали очередного президента, ИТ-специалисты всего мира столкнулись с серьезной проблемой [1] – сразу несколько компаний выпустили наборы обновлений, в том числе критичных. Для Microsoft это был стандартный день выпуска обновлений, к нему было подготовлено 14 исправлений, которые позволяли избавиться от 68 уязвимостей. Свои ошибки [2] в сервисе AdSense, мобильном браузере Chrome и операционной системе Android исправил и Google – они давали возможность распространяться банковскому «троянцу» Svpeng. Разработчики такого проекта, как OpenSSL, подгадали [3] к выборам выпуск исправления для важной уязвимости в своем продукте – эта программная библиотека используется в составе подключаемого к Интернету оборудования. Компания Adobe также приложила руку к исправлениям, выпустив обновленную версию Flash Player с номером 23.0.0.207, – его очень часто используют хакеры для проникновения на компьютеры жертв. Постаралась и компания SAP [4] – она исправила две уязвимости с возможностью исполнения команд операционной системы. В общем, перед ИТ-службами стоял сложный вопрос – что из всего этого «богатства» нужно обновлять в первую очередь? И только в США ИТ-специалисты выбирали президента.
Правда, в самом Windows 10 Update обнаружилась одна «фича» [5] – если во время процедуры обновления нажать SHIFT-F10, то можно выйти в режим командной строки. В этот момент с диска снимается защита BitLocker, что позволяет получить доступ к диску с правами администратора, т. е. с операционной системой можно делать все что угодно, если, конечно, уметь работать с Windows 10 в режиме командной строки. Такое обновление способно принести немало сюрпризов для владельцев, а от хакера требуется только физический доступ к компьютеру для поднятия полномочий – никакого дополнительного ПО устанавливать не придется.
Трамп в безопасности
Выбор Дональда Трампа на пост Президента США вызвал множество обсуждений в сообществе информационной безопасности, что связано с публикацией переписки демократической партии. Трамп поблагодарил WikiLeaks за публикацию этой переписки [6] и усомнился в причастности к данному инциденту России.
При этом эксперты выяснили [7], что Дональд Трамп использует смартфон на базе Android, что может представлять угрозу для национальной безопасности. Эта платформа якобы является незащищенной и может быть взломана. Впрочем, эти данные основаны на предложении, что Трамп сам публикует свои посты в социальных сетях.
В ноябре Дональд Трамп объявил, что планирует выбрать в качестве советника по национальной безопасности Майкла Флинна, который ранее был главой разведывательного управления министерства обороны США и озвучивал [8] концепцию, что США должны не отсиживаться в углу киберпространства в оборонительной позиции, а вести активную наступательную деятельность (читай – атаковать потенциальных киберагрессоров).
Трамп в своем видеообращении [9], где он обнародовал планы на первые 100 дней, немалую часть уделил именно кибербезопасности как одной из главных внешних угроз. В частности, он собирается обучить государственных чиновников правилам кибербезопасности, чтобы те соблюдали их беспрекословно, а не как Хилари Клинтон. Кроме того, он дал поручение министерству обороны и главному штабу разработать методы защиты критической инфраструктуры США от киберугроз и других типов атак. Так что первоочередные меры пока направлены скорее на защиту, чем на нападение.
«Взломай армию»
В ноябре министерство обороны США объявило о расширении программы открытого стресс-тестирования собственных веб-ресурсов [10]. Если ранее программа тестирования Hack the Pentagon относилась к поиску уязвимостей в статических сайтах, то нынешняя программа – Hack the Army – имеет отношение к поиску проблем в базах данных, причем персональной информации как о военнослужащих, так и о кандидатах на военную службу. Тестирование организовано при помощи компании HackerOne, на программу планируется потратить 7 млн долл.
Принципы безопасности IoT
Национальный институт стандартов NIST опубликовал стандарт NIST Special Publication 800-160 [11], в котором установлены процедуры безопасной разработки IoT, хотя ни в названии, ни в ключевых определениях этот термин не используется. Тем не менее, документ описывает инфраструктуру для разработки интеллектуальных устройств с целью обеспечить безопасность их для граждан и окружающей среды. Это инструкция для инженеров, подробная и официальная, занимающая более 200 страниц.
Для пользователей выпущена сокращенная версия «принципов безопасности IoT» [12] – фактически краткое изложение, поскольку оба документа разработаны одной группой авторов. Дон Росс, который приложил руку к обоим документам, на конференции Splunk GovSummit сказал, что мечтает сделать IoT-устройства такими же безопасными, как мост или современные самолеты. При этом предполагается реализация шести основных принципов. Во-первых, безопасность должна быть встроена в устройства еще на этапе их разработки. Во-вторых, следует предусмотреть механизмы обновления программного обеспечения устройств, чтобы иметь возможность исправлять обнаруженные проблемы. В-третьих, необходимо тестировать устройства для выявления ошибок и уязвимостей. В-четвертых, безопасность IoT должна доминировать над другими характеристиками продуктов. В-пятых, требуется обеспечить прозрачность разработки ПО таким образом, чтобы исправлялись ошибки не только в самих устройствах, но и в компонентах. То есть если устройства используют, например OpenSSL, то на них должны устанавливаться обновления безопасности, выпускаемые разработчиками именно OpenSSL. В-шестых, подключать устройства, особенно промышленные, к Интернету нужно осторожно и осмысленно, иначе вред бездумного подключения может оказаться выше пользы от него.
Зомби атаковали Либерию и Германию
Деятельность зомби-сети Mirai продолжается. В октябре мы писали об атаке на DNS-регистратора Dyn – в ноябре его собирался купить Oracle. Дело в том, что код зомби-агента Mirai доступен, поэтому любой недоброжелатель может зомбировать необходимый ему набор компьютеров и атаковать любую цель. Зомби-агентов зафиксировали уже в 164 странах по всему миру. Собственно, именно активность этой сети и сподвигла разработчиков NIST выпустить свой набор стандартов для обеспечения безопасности подключенных к Интернету устройств.
В начале ноября было зафиксировано [13] нападение с помощью агентов Mirai на операторов в восточно-африканской стране Либерии. Есть сведения, что атаку в качестве теста совершила группировка под условным названием «Botnet #14». Дело в том, что страна подключена к Интернету по одному кабелю, который совместно эксплуатируют два провайдера, однако атака на канальное оборудование блокирует доступ с территории целой страны. Объем трафика сети оценивается примерно в 500 Гбит/с.
В конце отчетного месяца армия зомби атаковала [14] немецкого провайдера Deutsche Telekom, причем это была уже не DDoS-атака, а захват домашних широкополосных маршрутизаторов, которые оператор использует для организации доступа пользователей. Зомби Mirai проводили сканирование устройств на уязвимости в протоколе управления TR-064, который работает по порту номер 7547, и, если уязвимость присутствовала, то они захватывали контроль над устройством. Протокол TR-064 Deutsche Telekom использовала для технического управления устройствами, и ее инженеры считали, что пользоваться этим протоколом могут только авторизованные пользователи. Однако хакерам удалось обнаружить уязвимости в протоколе аутентификации и захватить домашние маршрутизаторы с помощью модифицированного зомби-агента Mirai. Уязвимым к этой атаке оказалось большинство используемого компанией оборудования: Eir D-1000 компании ZyXEL, DSL-3780 компании D-Link, а также некоторые модели от T-Com/T-home (SpeedPort), MitraStar и Digicom. В результате от массовой атаки пострадали в общей сложности около 1 млн немецких пользователей Deutsche Telekom. Вполне возможно, что захваченные таким способом модемы будут в дальнейшем использованы в зомби-сетях для других атак.
[1] https://krebsonsecurity.com/2016/11/patch-tuesday-2016-u-s-election-edition/
[3] http://www.securityweek.com/openssl-patch-high-severity-flaw-version-110
[4] https://www.infosecisland.com/blogview/24844-SAP-Cyber-Threat-Intelligence-Report—November-2016.html
[5] http://www.securityweek.com/shiftf10-during-windows-10-updates-can-bypass-bitlocker
[6] http://venturebeat.com/2016/11/16/trump-transition-team-now-lacks-cyber-security-expertise/
[7] http://nationalcybersecurity.com/trumps-hackable-android-phone-security-threat-us-experts-warn/
[9] http://www.infosecurity-magazine.com/news/trump-mentions-cyber-in-100day-plan/
[10] http://nationalcybersecurity.com/us-military-launches-hack-army-ambitious-bug-bounty-yet/
[11] http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-160.pdf
[13] http://www.securityweek.com/mirai-botnet-takes-down-internet-liberia
[14] http://www.theregister.co.uk/2016/11/28/router_flaw_exploited_in_massive_attack/
