Security for all - #5 - 2 мая 2018
Я бы в летчики пошел... - Источники информации
Сегодня
Функцией синхронизацией в iOS нужно пользоваться аккуратно. Полиция закрыла крупнейший сервис, продающий атаки отказ в обслуживании. Найдена возможность создавать мастер ключи к электронным замкам в отелях. В Drupal найдена еще одна проблема за последние несколько недель.
Предисловие
Спасибо всем, кто слушает подкаст. Надеюсь информация полезна и вы узнаете что-то новое для себя.
Вспомогательные темы
DoS – Denial of Service – вид атаки, направленный на то, чтобы сделать сервис недоступным для использования легитимными пользователями. Ресурсы и возможности любой системы ограничены. DoS атака может быть вызвана некорректным поведением системы из-за специально подготовленных данных, либо исчерпанием ресурсов, в результате чего система не сможет обрабатывать последующие запросы. Исчерпанию могут быть подвержены различные ресурсы: процессорное время, оперативная память, дисковое пространство, пропускная способность сети, какие-либо системные ресурсы, например, количество открытых файлов.
DDoS – Distributed Denial of Service – распределенная DoS атака. В ней обычно участвует большое количество маломощных компьютеров, которые все вместе могут исчерпать ресурсы достаточно мощного сервера или группы серверов.
POC (обычно произносится как «ПОК») – Proof of Concept – дословно можно перевести как подтверждение концепции. Под этим термином понимается пример эксплуатации какой-либо уязвимости. Обычно представляет собой скрипт или приложение, использующий недостаток системы, но не выполняющий вредоносных действий. С его помощью можно, например, проверить наличие уязвимости в системе.
RFID - Radio Frequency IDentification - радиочастотная идентификация. Способ идентификации объектов посредством бесконтактного считывания данных из специальных меток (транспондеров).
Новости
Функция синхронизации может таить в себе опасность для iOS устройств
При подключении iPhone или iPad к компьютеру пользователь может разрешить синхронизацию по USB. Для большего удобства также есть опция беспроводной синхронизации. В это случае компьютер, к которому хотя бы раз подключали iPhone или iPad через USB-порт, в дальнейшем может синхронизироваться с этим устройством по локальному Wi-Fi без ведома владельца. В том числе могут быть задействованы функции для разработчиков.
Такое поведение открывает возможности для атак. Специалисты компании Symantec Рой Ярчи (Roy Iarchy) и Ади Шарабани (Adi Sharabani), случайно обнаружившие проблему при зарядке своих телефонов, назвали ее Trustjacking. Т.к. у пользователей нет возможности посмотреть список доверенных компьютеров, эксперты советуют полностью очистить список, выбрав «Настройки -> Основные -> Сброс -> Сбросить геонастройки» (Settings > General > Reset > Reset Location & Privacy).
https://threatpost.ru/ios-trustjacking-threatens-ios-devices/25773/
Полиция закрыла крупнейший сервис, продающий DoS как услугу
В результате совместной операции Голландской полиции, Британского National Crime Agency (NCA) и Европола был закрыт один из крупнейших сервисов webstresser.org, 6 его администраторов были арестованы. Данный ресурс позволял любому зарегистрированному пользователю, коих, кстати, набралось более 136 000, не имея практически никаких технических навыков за 10£ заказать атаку DDoS.
Данный сервис использовался, например, в атаках на крупнейшие банки Соединенного Королевстве в ноябре прошлого года.
https://thehackernews.com/2018/04/ddos-for-hire-hacker.html
Мастер ключ, который может открыть миллионы комнат в отелях
В системе крупнейшего производителя цифровых замков Assa Abloy была найдена серьезная проблема. Данная система используется в 42 тысячах объектах в 166 странах.
Специалисты компании F-Secure Томи Туоминен и Тимо Хирвонен нашли возможность создавать мастер-ключи, которые позволят открыть любую дверь. Для создания ключа понадобится любая карта отеля (действующая или просроченная) и специально модифицированный программатор для чтения и записи RFID карт. После этого нужно будет потратить примерно минуту, пока устройство подберет ключ к какой-либо двери. После этого ключ можно будет использовать, чтобы открыть любую другую дверь.
По понятным причинам технические детали пока не афишируются. Проблему раскрыли производителю в 2017 году. Производитель в сотрудничестве с исследователями исправили недостаток и выпустили обновление в феврале 2018 года.
Использования этой уязвимости злоумышленниками не замечено, тем не менее стоит подумать, прежде чем оставлять ценные вещи в номере отеля.
https://thehackernews.com/2018/04/hacking-hotel-master-key.html
Выпущен очередной POC для эксплуатации Drupal
Последние несколько недель ознаменовались исправлениями удаленного выполнения кода в системе управления контентом Drupal. Всего через несколько часов после выпуска исправления, злоумышленники стали эксплуатировать уязвимость на реальных веб-сайтах. Поэтому администраторам сайтов на Drupal очень рекомендуется поставить последние обновления как можно скорее.
https://thehackernews.com/2018/04/drupalgeddon3-exploit-code.html
Источники информации
Когда человек начинает интересоваться компьютерной безопасностью, ему сложно сориентироваться с чего начать, где искать информацию. Это не мудрено, потому что направленность информации на разных ресурсах сильно различается. Это могут быть описания уязвимостей, технические детали, термины, классы атак, методы тестирования уязвимостей, рекомендации и т.д.
Единственное, чего не найти – универсального решения, которое оградит от всех проблем. Такого решения просто нет, а безопасность складывается из множества простых вещей. Постоянно думать, безопасно ли очередное наше действие или нет, сложно. Гораздо лучше приучать себя действовать «правильно», в рамках так называемых лучших практик (best practice, если на английском).
Помимо следования рекомендациям желательно иметь представление о технологиях, которыми мы пользуемся. Разработчикам, которые хотят создавать безопасное ПО, знания о технологиях и методиках просто необходимы. Где же черпать информацию?
Я хотел бы порекомендовать несколько ресурсов.
OWASP - Open Web Application Security Project
Это международное сообщество. На его сайте собрано большое количество информации: описания, методики тестирования и рекомендации по разработке. Помимо этого, в рамках сообщества создано большое количество разнообразных утилит, в том числе образовательных.
У сообщества есть отделения в разных странах, в том числе и в России. Эти отделения организовывают встречи. На московских встречах, которые обычно организовываются вечером рабочего дня, бывает 3-4 небольших доклада на различные темы.
Больше информации вы найдете на сайте сообщества: https://www.owasp.org/index.php/Russia
Defcon
Еще одно некоммерческое международное сообщество – defcon. В России отделения есть в нескольких городах. Его основная ценность – это живой обмен информацией в чатах, периодические встречи, новостные каналы. Также периодически организуются обучающие трансляции.
У сообщества есть каналы на youtube и twitch.
Подкаст noisebit
Еще один ресурс – подкаст, который ведет Александр Матросов. Он сам является известным специалистом и приглашает к себе коллег по цеху. Вместе они обсуждают различные события и технологии. Выпуски выходят не очень часто, но несут в себе массу ценной информации.
Блоги и твиттеры компаний
Еще одним полезным источником может быть блог или твиттер какой-нибудь компании, которая специализируется в сфере безопасности.
Конференции
В разных городах России проводятся конференции по информационной безопасности. Помимо интересных докладов там можно пообщаться с энтузиастами и профессионалами, поучаствовать в разных конкурсах. Вы без проблем найдете информацию о конференциях в интернете.
На этом я, пожалуй, закончу перечисление :)
Помните, все из перечисленных мной ресурсов предназначены исключительно для того, чтобы люди могли делать свои продукты и жизнь более безопасной. Незаконная деятельность не приветствуется ни в каком виде.