Security for all - #11 - 14 июня 2018
Руссо туристо - Безопасный отдых
Сегодня
В большом количестве программ найдена уязвимость в функциональности работы с архивами; unicode используется для фишинга через SMS; удаленное выполнение кода в клиенте игрового сервиса Steam; подробности о вредоносах Nocturnal Stealer и BackSwap.
Также я расскажу о рекомендациях, которые помогут сделать вашу цифровую жизнь в отпуске или командировке более безопасной.
Вспомогательные темы
ASCII - American standard code for information interchange (по-русски часто произносится как [аски]) - таблица соответсвия символов (печатаемых и непечатаемых) и их цифровых кодов. Таблица ASCII определяет коды для символов десятичных цифр, букв латинского и национального алфавитов, знаков препинания и управляющих символов.
Unicode (юникод) - стандарт кодирования символов, включающий в себя знаки почти всех письменных языков мира. Состоит из универсального набора символов (Universal character set, UCS) и семейства кодировок (Unicode transformation format, UTF). Набор символов перечисляет допустимые символы и присваивает каждому код, в виде неотрицательного числа. Кодировки определяют способы преобразования кодов для передачи или хранения в файле. Наиболее распространенная кодировка - UTF-8.
Punicode - стандартизированный метод преобразования последовательностей Unicode-символов в последовательности, которые состоят только из алфавитно-цифровых символов, как это разрешено в доменных именах.
Новости
Zip Slip
Исследователи из Британской компании Snyk раскрыли информацию об уязвимостях в некоторых библиотеках работы с архивами. Уязвимость, которую назвали Zip Slip позволяет перезаписывать произвольные файлы при распаковке архивов различных форматов, таких как tar, zip, rar и 7z. Проблема была подтверждена в большом количестве проектов, написаных на JavaScript, Java, .NET, Ruby, Python.
Для эксплуатации атакующий должен вручную сформировать архив, что позволит ему перезаписать на атакуемой системе файл, в том числе и исполняемый. Таким образом данная уязвимость в некоторых случаях может приводить к выполнению кода, если перезаписанный файл будет запущен.
Была ли известна данная техника раньше? Определенно. Одно из первых описаний, было опубликовано в культовом журнале Phrack Magazine в сентябре 1991 года (http://www.phrack.org/issues/34/5.html). С тех пор данную проблему периодически находят и исправляют в разных библиотеках и приложениях.
https://thehackernews.com/2018/06/zipslip-vulnerability.html
Unicode используется для фишинга через текстовые сообщения
Старые трюки в новом исполнении присутствуют и в данной новости. Как сообщают специалисты компании Zscaler, адреса с символами unicode начали использовать фишеры при рассылке текстовых сообщений. Считается, что пользователи мобильных гаджетов обращают внимание на ссылки реже, чем пользователи ПК. Поэтому данная тактика может принести плоды для злоумышленников.
Использование unicode в адресе достаточно сложно отличить даже на ПК. Например вместо английской ‘c’ (си) может быть использована русская ‘c’ (эс). В результате адреса с английской и русской буквой с точки зрения компьютера будут кардинально отличаться, а для человека они будут выглядеть идентично. И только если приложение преобразует такую ссылку к punicode, подделку можно будет распознать. Отчасти из-за использования данной техники рекомендуется не переходить по присланным ссылкам, а вводить их в браузер вручную.
https://xakep.ru/2018/06/05/smishing/
Удаленное выполнение кода в клиенте Steam
Данная новость будет интересна всем, кто пользуется игровым сервисом Steam. Cпециалисты из Context Information Security раскопали ошибку в клиентском приложении данного сервиса. Уязвимость позволяла удаленно выполнить вредоносный код. Причина была в некорректной проверке размера передаваемого пакета данных. Т.к. проблема достаточно простая, эксперты предполагают, что она старая и появилась в ранних версиях клиента.
https://threatpost.ru/serious-vulnerability-existed-in-steam-client-at-least-10-years/26393/
Интересный вредонос Nocturnal Stealer
На просторах интернета появилось вредоносное ПО под названием Nocturnal Stealer. Зловред, за который просят $25 может воровать идентификаторы к различным кошелькам криптовалют, сохраненные пароли и данные браузеров Chrome и Firefox. Он также собирает информацию о системе.
В отличие от других малобюджетных собратьев, данное ПО выделяется маскировочными техниками. Вредонос снимает отпечаток среды, проверяет наличие отладчиков и анализаторов, проверяет не запущен ли он внутри виртуальной машины и не используется ли эмулятор. По завершении сбора информации все процессы завершаются и приложение удаляется из системы. Поэтому во многих случаях пользователи могут даже не догадываться, что их данные были украдены.
Зловред предназначен для неопытных пользователей. В объявлении автор предлагает услуги по настройке командного сервера, что весьма продуманно, ведь это позволяет ему получить доступ к украденным его клиентами данным.
https://threatpost.ru/nocturnal-stealer-lets-low-skilled-cybercrooks-harvest-sensitive-info/26404/
Троян BackSwap взаимодействует с браузером через UI
Эксперты ESET обнаружили новое семейство троянов, ворующее средства с банковских счетов. Вредоносное ПО, названное BackSwap, распространяется посредством спама. Полезная нагрузка поставляется в виде модифицированной версии легитимного приложения. Экспертами в этом качестве были замечены SQLMon, DbgView, WinRAR Uninstaller, 7zip, OllyDbg и FileZilla Server.
Обычно трояны внедряются в процесс браузера, чтобы получить доступ к данным. Авторы BackSwap выбрали вместо этого весьма оригинальный способ. Для отслеживания перехода на сайт банка используется мониторинг очереди сообщений Windows. Обнаружив работу с банком, троян внедряет в страницу вредоносный код посредством консоли разработчика.
В новых версия браузеров внедрены защиты от фишинга, которые не позволяют просто так вставить вредоносный код в консоль разработчика. Но т.к. существуют способы их отключения, а вредонос имитирует действия пользователя, у него получается обойти эти механизмы.
https://xakep.ru/2018/06/06/backswap/
Безопасный отдых
Летом достаточно большое количество людей берут отпуск и уезжают отдыхать. Часть людей периодически совершают деловые поездки. Я собрал небольшую подборку рекомендаций, которые могут позволить сохранить ваши данные.
Основные угрозы - утеря или кража устройства и, как следствие, содержащейся на нем информации, раскрытие информации при передаче и мошенничество.
Планирование
При поиске и бронировании отелей и билетов старайтесь использовать проверенные сайты. Не ведитесь на слишком низкую цену, это может быть мошенничество. Если в аэропорту окажется, что вы отдали деньги за несуществующие билеты, отпуск будет испорчен.
Будьте внимательны при оплате картой онлайн. Проверяйте, что используется защищенное соединение.
Не выкладывайте фотографии посадочных талонов. В QR-кодах некоторых билетов содержится конфиденциальная информация. Например, там может содержаться номер паспорта.
Перед поездкой
Сами электронные устройства нужно подготовить к поездке.
Сделайте бэкап - в случае утери или кражи устройства, вы всегда сможете восстановить данные. Также вы сможете восстановить данные, если они повредятся в процессе настройки или установки нового софта.
Обязательно зашифруйте устройство и защитите его паролем. Опять же на случай утери или кражи.
Обновите софт. Этой нехитрой мерой вы сможете оградить себя от части вредоносной активности. Чаще всего эпидемиям вирусов подвергаются устройства, которые давно не обновлялись.
Обязательно настройте и проверьте работоспособность сервиса по поиску устройства. Если вы выроните телефон, его можно будет найти с помощью данной функции. Естественно, на телефоне должен быть доступ в интернет и включен сервис геолокации.
Самые защищенные данные - те, которых у вас нет. Поэтому удалите лишнее - потом восстановите из бэкапа. А еще лучше, если у вас есть запасной телефон или ноутбук, которые можно использовать в поездке. Так ваше основное устройство будет в большей сохранности.
Заранее позаботьтесь о настройке программ и операционной системы. Для браузеров может быть полезно расширение под названием HTTPS Everywhere. Попробуйте включить опцию “Блокировать все незашифрованные запросы”. Она будет крайне полезна для защиты соединений в поездке.
Также можете настроить VPN - виртуальную частную сеть. Благодаря VPN все ваши данные будет зашифрованы. Но защищены они будут только до VPN сервера, поэтому безопасные соединения в браузере никто не отменял. Вы же не хотите, чтобы VPN провайдер видел передаваемые данные?
Отдых
Старайтесь не публиковать заранее фотографии и другие материалы, которые помогут определить, что вы в отъезде и ваше жилье осталось без присмотра. Например, фотографии в соцсетях вполне могут предоставить такую информацию.
Старайтесь не использовать публичный wi-fi - вы никогда не знаете, кто его установил. Если есть возможность, то лучше используйте мобильный интернет.
Не используйте публичные компьютеры для доступа к важной информации. На таких компьютерах может быть установлен кейлоггер - специальное ПО, которое следит за нажатыми клавишами. Это позволит злоумышленникам увидеть, какие сайты вы посещали и какие логины и пароли там вводили.
Выключайте беспроводные сети, wi-fi и bluetooth, если не пользуетесь ими. Известны уязвимости, для эксплуатации которых жертве нужно лишь попасть в зону действия беспроводной сети. Чем меньше поверхность атаки, тем лучше.
Итоги
Используйте защищенные соединения для передачи важных данных и обновляйте вовремя софт.
Готовьте устройства в поездку - сделайте бэкап, зашифруйте данные. Если есть возможность, вместо основного устройства, возьмите запасное.
По возможности используйте мобильный интернет и выключайте wi-fi и bluetooth.
Хорошего и безопасного отдыха. Спасибо за внимание и до следующей недели.