Security for all - #9 - 29 мая 2018

Пока все дома - Same Origin Policy

Сегодня

Голосовые помощники могут воспринимать неслышимые человеком команды; голосовой ассистент Alexa отправила запись разговора постороннему лицу; найдены уязвимости в автомобилях BMW; атаки на устройства интернета вещей; полумиллионный ботнет и поддельные DNS в настройках роутеров.

Основная тема - как нас защищают браузеры. Same Origin Policy.

Вспомогательные темы

CAN – Controller Area Network. В русской речи часто произносится “КАН”. Промышленный стандарт для объединения в сеть управляющих устройств и датчиков. Является стандартом для автомобильной автоматики.

IoT – Internet of Things – Интернет вещей. Концепция объединения различных вещей, оснащенных разными технологиями, в единую сеть. Сформулирована в 1999 году и рассматривалась как механизм для изменения промышленных процессов, например, системы логистики на предприятии. В 2004 году опубликована статья, показывающая возможности концепции в бытовом применении.

SOHO – Small Office and Home Office (упрощенно [сохо]) – название сегмента рынка. Устройства, предназначенные для малого офиса или домашнего использования, относят к классу SOHO.

SCADA - Supervisory Control And Data Acquisition - дословно “диспетчерское управление и сбор данных”. Программный пакет обеспечивающий в реальном времени сбор, обработку, отображение и архивирование информации об объекте мониторинга или управления. Обычно является частью автоматизированных систем управления технологическим процессом (АСУ ТП).

Новости

Голосовые помощники могут воспринимать команды неслышимые человеком

В последние несколько лет исследователи из Китая и США демонстрируют, что они могут послать неслышимые человеком команды голосовым помощникам, таким как Siri от Apple, Alexa от Amazon и Ассистенту от Google. В своих лабораториях исследователи смогли активировать системы на смартфонах и умных колонках, заставляя их позвонить по телефону или открыть web сайт. Потенциально с помощью такой техники можно осуществить открытие дверей или платеж.

Еще в 2016 году студенты из Калифорнийского Беркли и Университета Джорджтауна показали, что они могут спрятать команды в проигрываемом через колонки белом шуме или видео на YouTube. Человек будет воспринимать музыку или чью-то речь, а умный помощник услышит, например, команду добавить что-нибудь в список покупок.

Производители в свою очередь стараются защититься от подобного поведения. Большинство команд невозможно выполнить на заблокированном смартфоне. Это еще один повод блокировать свой смартфон.

https://nytimes.com/2018/05/10/technology/alexa-siri-hidden-command-audio-attacks.html

Alexa от Amazon послала запись разговора другому пользователю

Компании Amazon пришлось объяснять, каким образом запись частного разговора попала к третьему лицу. Как утверждает жительница Портланда, устройство Amazon Echo послало запись ее разговора с мужем коллеге мужа.

Вот как все происходило. Изначально система активировалась от слова, похожего на ключевое “Alexa”, дальнейший разговор был распознан как запрос “отправь сообщение”. Алекса спросила: “Кому?”. Продолжение диалога было воспринято как одно из имен в контакт листе. Алекса громко переспросила: “Такое-то имя, правильно?”. Продолжающийся разговор был распознан как ответ “Правильно”.

Звучит неправдоподобно, но случайные срабатывания систем подобных Алекса встречались и ранее. Компании стараются сделать такие инциденты как можно менее вероятными, но как видно, это не всегда получается.

https://www.theverge.com/2018/5/24/17391898/amazon-alexa-private-conversation-recording-explanation

Уязвимости в автомобилях BMW

В рамках исследования, которое длилось целый год, китайским специалистам удалось выявить 14 уязвимостей в автомобилях BMW. 8 уязвимостей в системе Infotainment, которая отвечает за проигрывание мультимедиа; 4 – в системе обслуживающей телефонию, помощь при авариях и удаленную блокировку/разблокировку дверей; 2 – в центральном шлюзовом модуле, который принимает сообщения от первых двух систем и направляет их к управляющим модулям, находящимся на других CAN шинах.

6 из уязвимостей можно эксплуатировать удаленно через BlueTooth или мобильную сеть, при этом машина может находиться в движении. Концерн BMW подтвердил наличие уязвимостей и уже стал выпускать обновления. Некоторые обновления возможно применить только посетив дилерский центр. Поэтому полное техническое описание уязвимостей запланировано только на март 2019 года.

https://thehackernews.com/2018/05/bmw-smart-car-hacking.html

Downgrade атака на устройства интернета вещей

Исследователи Кен Манро (Ken Munro) и Эндрю Таэрней (Andrew Tierney) выяснили, что в протоколе Z-Wave есть уязвимость понижения уровня защищенности соединения. Данный протокол используется для общения беспроводных устройств домашней автоматизации. Он был спроектирован для простого спаривания устройств и управления ими. Последний стандарт безопасности, который называется S2, использует усовершенствованную схему обмена ключами при установлении соединения между устройствами.

Несмотря на то, что компания Silicon Labs, которая является владельцем Z-Wave, сделала использование S2 обязательным при сертификации, миллионы устройств все еще поддерживают старый протокол S0 для совместимости. S0 был признан небезопасным еще в 2013 из-за использования предустановленных ключей, что позволяло атакующим просматривать передаваемые между устройствами данные.

Этот пример очень хорошо иллюстрирует ситуацию, когда о безопасности задумываются на поздних этапах разработки. В результате чего производителям приходится поддерживать устаревшие и небезопасные протоколы для совместимости с ранее выпущенными устройствами.

https://thehackernews.com/2018/05/z-wave-wireless-hacking.html

Полумиллионный ботнет

Подразделение Talos компании Cisco обнаружило вредоносное ПО, названное VPNFilter, которое нацелено на роутеры и сетевые хранилища компаний Cisco, MikroTik, NETGEAR и TP-Link. Это модульное ПО может красть учетные данные веб-сайта и следить за системами управления предприятием (?) (SCADA). Буквально на следующий день после публикации данной новости появилась информация о том, что ФБР взяло под контроль управляющие сервера ботнета.

Talos все еще продолжает анализ проблемы. У исследователей нет достоверной информации о том, как заражались устройства, но они уверены, что использовались старые, давно известные уязвимости и стандартные пароли, которые не менялись при настройке.

https://thehackernews.com/2018/05/vpnfilter-router-hacking.html https://thehackernews.com/2018/05/vpnfilter-botnet-malware.html

Малварь выставляла в роутерах поддельные DNS сервера

Появилась новая разновидность малвари, которая теперь помимо Android устройств нацелена на iOS и десктопы. Изначальная версия была нацелена на кражу логинов, паролей и кодов двухфакторной аутентификации у пользователей устройств на Android. В новой версии добавлен фишинг для iOS устройств и майнеры криптовалют для PC. Также расширена географическая нацеленность с Юго-Восточной Азии и Японии до Европы и среднего Востока.

Принцип функционирования достаточно прост. Подменив в роутере адреса DNS серверов на подконтрольные, злоумышленники могли направлять трафик на вредоносные сайты, которые содержали

Для того, чтобы убедиться, что вы не стали жертвой, проверьте, что на роутере стоит последняя прошивка и используется надежный пароль. Также убедитесь, что посещаемые вами сайты используют защищенное соединение HTTPS. Если включено удаленное управление роутером через интернет, то эту функцию лучше всего отключить.

Также проверьте, что выдаваемые роутером DNS сервера принадлежат вашему провайдеру. Или же можете попробовать настроить использование защищенного варианта DNS на роутере, устройстве или приложении. О DNS я рассказывал во втором выпуске подкаста.

https://thehackernews.com/2018/05/routers-dns-hijacking.html

Same Origin Policy

Наш браузер является окном в интернет. Через него мы посещаем сайты самой разной тематики: от персональной почты и онлайн банка до новостных сайтов и форумов по интересам.

Скрипты

На странице одного сайта могут быть задействованы ресурсы с других сайтов. Например, изображения, стили и скрипты. Появление скриптовых движков в браузерах началось еще в 1995 году с браузера Netscape Navigator. Это дало разработчикам возможность манипулировать HTML документом, показывать диалоги, открывать и двигать окна, а также использовать другие вещи, присущие клиентским приложениям. Скрипты - очень мощный инструмент, позволяющий добраться практически до всего, чем располагает браузер.

Скрипты разных страниц выполняются в браузере в разных окружениях. У каждого окружения свои глобальные переменные и объявленные функции. Имеется несколько высокоуровневых объектов, таких как объект локации, истории, экрана, навигатора и документа.

DOM

Объект документа, наверное самый сложный. Он является ключом ко всем элементам страницы, организованным в виде древовидной структуры. Эта модель страницы называется Document Object Model, или сокращенно DOM. Мы произносим как [дом].

Допустим мы открыли в одной вкладке браузера важный для нас сайт, например, тот же онлайн банк, а в соседней какой-то другой сайт, который вполне может оказаться вредоносным. Защищает ли браузер данные из первой вкладки от скриптов из второй?

SOP

Оказывается, защищает. Вместе с JavaScript и DOM был сформулирован принцип Same Origin Policy (политика одного источника), которому следуют браузеры. Суть этого принципа проста - два разных контекста скриптов имеют доступ к DOM друг друга, только в случае если протокол, доменное имя сервера и порт их документов совпадают. Комбинация протокол-хост-порт обозначается как origin, или источник.

Таким образом скрипты из двух разных вкладок с разных сайтов не могут получить доступ к данным друг друга.

CORS

В некоторых случаях скриптам нужно делать запросы на внешние сервера для получения данных. Такие запросы называются кросс доменными. Браузер будет выполнять такие запросы в контексте предыдущих сессий. Что я здесь имею в виду? Если пользователь был залогинен на сайте, куда делается запрос, вместе с этим запросом браузер отправит и ранее полученные cookies.

При кросс доменных запросах предоставлять доступ к данным или нет решает сервер, к которому делают запрос. По-умолчанию доступ запрещен. Чтобы его разрешить, администратор или разработчик приложения должны настроить свой сервер соответствующим образом.

Ошибки

Иногда удается обойти принцип SOP. В случае таких ошибок могут произойти неприятные вещи. Например вы зайдете на сайт, вредоносный или скомпрометированный кем-то, и данные вашего банковского аккаунта станут доступны злоумышленникам. Или сайт получит доступ к локальным файлам вашего компьютера: документам, фотографиям, истории браузер, cookies и т.д.

Концепция SOP достаточно простая. Думаю, она поможет вам лучше понимать, как работают браузеры и как они нас защищают. Или как минимум пытаются защищать :)

На этом на сегодня все. Спасибо за внимание. До следующей недели.