Security for all - #10 - 6 июня 2018

Ловись рыбка большая и маленькая - Фишинг

Сегодня

В Москве прошла конференция по безопасности PHDays, уязвимости в наборе утилит procps-ng и технологии шифрования памяти виртуальных машин от AMD. А также уязвимость выполнения кода в системе управления версиями Git.

Основная тема - фишинг и способы защиты от него.

Картинка недели

Login: 111111, password: 111111

Вспомогательные темы

Кейлоггер - программное обеспечение или аппаратное устройство, которое создано для записи нажатых клавиш. Часто используется для добычи логинов и паролей.

Троян - разновидность вредоносного ПО, которое попадает на компьютер под видом легитимного софта, но в дополнение выполняет несанкционированные действия, такие как сбор и отправку информации, нарушение работоспособности, использование ресурсов для целей атакующего

Гипервизор (также называется монитором виртуальных машин) - программа или аппаратная схема, позволяющая одновременное выполнение нескольких операционных систем на одном компьютере, которых называется хост компьютером или просто хостом. Виртуализованные системы называются гостевыми или гостями.

Новости

PHDays

Я незаслуженно упустил эту новость в прошлый раз. Исправляю недостаток. 15-16 мая в Москве прошла конференция Positive Hack Days (сокращенно phdays), которую проводит компания Positive Technologies. На конференции были представлены доклады и выступления по разным направлениям: бизнес тематика, технические доклады, воркшопы. Проводились различные конкурсы. Записи докладов доступны на сайте phdays.com в разделе онлайн-трансляция.

https://www.phdays.com/ru/broadcast/

Yet another Conference

29 мая прошло другое событие - Yet another Conference, которую организует компания Яндекс. Как обычно была и секция посвященная информационной безопасности - были доклады на разные темы, от умной акустики до DNS.

https://events.yandex.ru/events/yac/29-may-2018/?tab=4

Уязвимости в наборе procps-ng

В середине мая компания Qualys опубликовала результаты аудита набора утилит procps-ng. Он предназначен для работы с псевдофайловой системой /proc в linux и в него входят такие утилиты как ps, top, free, kill. В ходе исследования были выявлены 7 уязвимостей, 2 из которых могут привести к локальному повышению привилегий в системе, а одна позволяет скрывать непривилегированные процессы.

http://www.opennet.ru/opennews/art.shtml?num=48623

Уязвимости в технологии SEV от AMD

Исследователи из Германии утверждают, что они разработали воспроизводимую на практическе атаку на виртуальные машины, защищенные механизмом Secure Encrypted Virtualization (сокращенно SEV) от AMD. Данная технология, представленная в линейке процессоров EPYC, представляет из себя аппаратное решение, которое шифрует память виртуальной машины таким образом, что только гостевая система имеет доступ к незашифрованным данным. Тем самым происходит защита от других виртуальных машин и контейнеров, а также от недоверенного гипервизора. Из-за недостаточной проверки целостности, гипервизор имеет возможность контролировать трансляцию между гостевыми и хостовыми адресами и может перенаправить страницы памяти по другому адресу. В результате данные памяти будут раскрыты.

https://thehackernews.com/2018/05/amd-sev-encryption.html

Выполнение кода в Git

В системе управления версиями Git было исправлено две уязвимости. Первая позволяла в windows версии читать память за пределами разрешенной области. Вторая затрагивает все ОС, она позволяла выполнение кода. Для этого нужно было специальным образом сформировать файл .gitmodules. При рекурсивном клонировании репозитория с внешними модулями, возможно выполнение команд из этого файла. Все пользователям рекомендуется обновить ПО.

https://marc.info/?l=git&m=152761328506724&w=2

Фишинг

Фишинг - от английского fishing (рыбная ловля) - вид интернет мошенничества, нацеленный на кражу конфиденциальной информации пользователя, чаще всего логина и пароля. В 8 выпуске мы рассматривали новость о фишинговой кампании против пользователей Apple. Атака была направлена на выуживание логинов и паролей от аккаунтов Apple ID.

Подделки

Для осуществления атаки злоумышленники подделывали и письма, чтобы они выглядели как письма от Apple, и сайт, ссылку на который вставляли в письма, чтобы он выглядел в точности, как портал Apple. Подделка сообщения и подделка сайта - два основных виде подделок, которые используются в подобных атаках.

В самом простом случае злоумышленники не будут подделывать адрес отправителя или сайта. Но такие подделки распознать достаточно просто. Гораздо опаснее, когда вместе с содержимым подделывается и адрес. Цель атакующего - использовать поддельное имя, которое легко спутать с оригиналом. Например, вместо www.paypal.com использовать wwwpaypal.com (в последнем варианте нет точки после www). Или в написании использовать заглавную i, которую просто спутать со строчной L. На этом, естественно, уловки не заканчиваются.

Цели

В примере с аккаунтами Apple злоумышленники пытались убедить пользователя ввести логин и пароль от своего аккаунта на поддельном сайте. Помимо этого целью может быть и другое действие пользователя:

Сценарии

Как вы понимаете, у атаки должен быть свой сценарий. Классифицировать их проблематично, потому что иногда разные сценарии содержат общие элементы или цели. Но попробуем…

Платежная система / магазин / …

Первый сценарий - сообщение от финансовой компании (банка, платежной системы или магазина). В этом сценарии атакующие могут посылать со сторонних адресов письма, похожие по оформлению на письма компании. А могут и использовать встроенную функциональность сервиса, чтобы отправить свое сообщение. Например, так было с функцией “запрос денег” в сервисе PayPal - злоумышленники пользовались легитимной функцией, а в свое сообщение вставляли вредоносную ссылку.

Гос. учереждение

Второй сценарий - письмо от государственного органа, например, налоговой. Целью данной атаки может быть персональная информация.

Руководитель

Отдельно стоят атаки, в которых злоумышленники посылают письма подчиненным от имени руководителя. В таких письмах обычно содержится просьба что-то выполнить или осуществить платеж или перевод денег.

Кнут и пряник

В фишинг атаках основной целью является человек. Технические системы и средства могут использоваться, но без воздействия на человека не обойтись. Злоумышленники стараются побудить человека к действию либо с помощью пряника, либо с помощью кнута. Кнутом может быть какое-либо негативное последствие бездействия, например, “если не смените пароль, аккаунт будет заблокирован”. Скидка, которая действует только сегодня и никогда больше, а вы в числе избранных, кому стало о ней известно - яркий пример пряника.

Что делать

Чтобы уменьшить риски, нужно выполнять несколько простых рекомендаций.

Обновляйте софт. От уязвимостей нулевого дня это не спасет, зато еще как спасет от кучи известных, которых намного больше.

Менеджеры паролей с автозаполнением помогают против поддельных сайтов. Если адрес отличается, менеджер просто не подставит логин и пароль.

Обращайте внимание на адрес - адрес отправителя и адрес сайта.

Если есть малейшие сомнения, свяжитесь с отправителем по другому каналу, например позвоните ему.

Если нужно открыть подозрительные документы, делайте это в онлайн редакторе (MS Office Online, Google Docs или любом другом). Но помните про приватность - не загружайте конфиденциальные данные на сторонние сервисы.

Помните, электронная почта - не единственный источник фишинговых сообщений. SMS, мессенджеры и любые другие средства связи могут быть использованы для доставки сообщений.

Я попался

Если вы вдруг попались на фишинг, не стоит себя из-за этого сильно казнить. Это может случиться с каждым. Многое будет зависеть от обстоятельств. Главное сделайте правильные выводы!

Напоследок один принцип, который поможет не только с фишингом. Звучит он так: “если нашли тебя - это плохо, если нашел ты - хорошо.”

На этом я на сегодня прощаюсь. Всем спасибо за внимание. До следующей недели.