[image]

Хакеры и взломы...

 
1 6 7 8 9 10 11 12

Iva

аксакал

☠☠
Iva

теперь Яндекс.деньги

«Яндекс.Деньги» перевыпустят попавшие в Сеть карты своих клиентов

В Сети оказались данные, которые пользователи платежной системы оставили на сервере стороннего ресурса: токены, логины, номера карт и другая информация //  www.rbc.ru
 
   77.0.3865.9077.0.3865.90

Iva

аксакал

☠☠
Iva> теперь Сбербанк
Iva> Вести.Ru: В Сбербанке произошла крупнейшая на рынке утечка персональных данных

и еще раз Сбербанк

В Сети продается биометрия и данные о кредитах клиентов Сбербанка

В Сбербанке произошла вторая крупная утечка персональных данных клиентов за октябрь 2019 г. Банк отрицает этот... //  www.cnews.ru
 
   77.0.3865.12077.0.3865.120

Iva

аксакал

☠☠
Iva>

о как - в Чехии раскрыли крупную хакерскую российскую сеть.
Правда я не понял - сомнительно, что она хакерская, скорее обычная пропагандистская.

"Центр российских спецслужб и денег". Хакеры из России в Чехии

В понедельник глава чешской Службы безопасности и информации Михал Коуделка подтвердил информацию, ранее опубликованную журналистами, что в Чехии действовала агентурная сеть, занимавшаяся кибератаками //  www.svoboda.org
 
   77.0.3865.12077.0.3865.120
LT Bredonosec #01.11.2019 16:11
+
-
edit
 

Pegasus: тотальная слежка на iOS и Android

Модульный шпион Pegasus для iOS и Android, или Одна из самых сложных атак на пользовательские устройства. //  www.kaspersky.ru
 

Pegasus: тотальная слежка на iOS и Android
11 апреля 2017

Пользователи Apple iPhone и iPad уверены: они в безопасности. Ведь для iOS нет вирусов! По крайней мере, они так считают. Компания Apple эту точку зрения поддерживает, не пуская в суверенный App Store антивирусные приложения. Ведь они вроде как ни за чем и не нужны.

Ключевое слово здесь «вроде как» — на самом деле это заблуждение. Вредоносное ПО для iOS находили уже много раз, а в августе 2016 года исследователи обнаружили очень опасного зловреда — шпионское ПО Pegasus, способное взломать любой iPad или iPhone, украсть данные с устройства и установить тотальную слежку за владельцами. Очень неприятное открытие.

На Security Analyst Summit 2017 исследователи из Lookout сообщили, что Pegasus существует не только для iOS, но и для Android, причем версия для Android несколько отличается от своей iOS-предшественницы. Давайте же немного подробнее разберем, что представляют собой оба «Пегаса» и почему мы говорим о тотальной слежке.

Pegasus: начало, или Лошадь в яблоках

О Pegasus узнали благодаря правозащитнику из ОАЭ Ахмеду Мансуру, который оказался одной из целей атаки с использованием «Пегаса». Его пытались поймать на целевой фишинг: Ахмед получил несколько SMS со ссылками, которые он счел подозрительными и переслал специалистам компании Citizen Lab для изучения. А те, в свою очередь, привлекли к расследованию другую компанию из области кибербезопасности — Lookout.

Мансур не ошибся: нажми он на одну из ссылок, его iPhone оказался бы заражен. Да, мы говорим про зловредов для iOS. Да, для iOS без джейлбрейка. Этот зловред получил имя Pegasus, и это самая сложная атака на конечного пользователя из всех, с которыми сталкивались специалисты компании Lookout.

Исследователи сходятся в том, что Pegasus создан NSO Group — израильской компанией, которая зарабатывает на хлеб разработкой шпионского ПО. Это значит, что зловреда делали на продажу и любой желающий может его приобрести. Шпион эксплуатирует три уязвимости нулевого дня в iOS, которые позволяют по-тихому провести джейлбрейк устройства и установить шпионское ПО. Другая компания из мира кибербезопасности, Zerodium, в свое время предлагала $1 млн за уязвимость нулевого дня в iOS. Можете представить, во сколько обошлась разработка Pegasus, — их там аж три.

Ну а слежку мы называем тотальной вот почему. Pegasus — это модульный зловред. Просканировав устройство жертвы, он загружает недостающие модули, чтобы читать SMS и электронную почту жертвы, прослушивать звонки, делать скриншоты, записывать нажатия клавиш, рыться в контактах и истории браузера и делать еще много чего. В общем, он может следить буквально за всем, что делает жертва на взломанном устройстве или рядом с ним.

В том числе Pegasus может прослушивать зашифрованные звонки и читать зашифрованные сообщения: фиксируя нажатия виртуальных клавиш, он считывает сообщения до шифрования, а захват экрана позволяет зловреду украсть входящие сообщения после расшифровки. То же с записью голоса и звука.

Pegasus хорошо умеет делать еще одну вещь — прятаться. Зловред самоуничтожается, если не может связаться с командным сервером более 60 дней или же если обнаруживает, что попал не на то устройство (с другой SIM-картой). Последнее очень даже объяснимо: Pegasus создан для целевого шпионажа, и клиентам, купившим зловреда у NSO, неинтересно следить за случайными людьми.
Железный конь для Android

Вероятно, разработчики Pegasus решили, что при таких-то бюджетах на разработку проекта грех ограничиваться одной платформой. С момента обнаружения версии для iOS прошло совсем немного времени, и специалисты Lookout нашли аналогичного зловреда и для операционной системы Google. На Security Analyst Summit 2017 представители компании рассказали о Pegasus для Android, или, как его называют в Google, о Хрисаоре (Chrysaor).

«Пегас» для Android, в отличие от iOS-версии, не эксплуатирует уязвимости нулевого дня. Вместо этого он использует Framaroot — давно известный способ получения прав суперпользователя на Android-устройствах. Это не единственное отличие: если попытка взломать iOS-устройство проваливается, вместе с ней неудачной оказывается и вся атака «яблочного» Pegasus. Однако Pegasus для Android на этом не останавливается: провалив попытку взломать систему скрытно, зловред начинает выпрашивать у владельца устройства права доступа, чтобы украсть хоть какие-то данные.

Google утверждает, что во всем мире от зловреда пострадало лишь несколько десятков устройств. Но так как речь идет о целевых атаках, это довольно большое число. Больше всего раз Pegasus для Android установили в Израиле, на втором месте Грузия, на третьем — Мексика. Также зловред был замечен в Турции, Кении, Нигерии, ОАЭ и других странах.



Spread of countries for Android devices infected with Chrysaor malware; allegedly related to Israeli NSO Group https://android-developers.googleblog.com/2017/04/an-investigation-of-chrysaor-malware-on.html?m=1 pic.twitter.com/Pt997Bgqgn

— Joseph Cox (@josephfcox) April 4, 2017

Скорее всего, вы вне опасности, но…

Когда мир узнал об iOS-версии Pegasus, Apple среагировала быстро и четко: выпустила обновление безопасности iOS 9.3.5, которое закрыло все три используемые Pegasus уязвимости.

Компания Google, помогавшая расследовать инциденты с Android-версией зловреда, пошла иным путем и связалась с потенциальными жертвами Pegasus напрямую. Если вы обновили свое iOS-устройство и не получали никаких уведомлений по теме от Google, то, скорее всего, вы вне опасности и никакой Pegasus за вами не следит.

Однако это не означает, что другое, пока неизвестное шпионское ПО не ищет себе новых жертв прямо сейчас. Существование Pegasus лишний раз доказывает: для iOS есть вредоносное ПО, и оно может быть гораздо сложнее, чем простенькие подпихиватели рекламы или надоедливые сайты, требующие выкуп с посетителей, которые очень легко закрыть. У нас есть три простых совета, которые помогут вам оставаться в безопасности:

Всегда вовремя обновляйте устройства, особенно когда речь идет о заплатках безопасности.
Установите надежное защитное решение на все свои устройства. К сожалению, на iOS нельзя поставить антивирус, но мы надеемся, что с появлением Pegasus Apple пересмотрит свою политику в этом отношении.
Разберитесь, что такое фишинг, и научитесь на него не попадаться, даже если это целевой фишинг, как в случае Ахмеда Мансура. Если вы получили ссылку от неизвестного отправителя, не кликайте по ней сразу же. Сначала все обдумайте, а потом кликайте. Ну или не кликайте вообще.
   57.057.0
LT Bredonosec #01.11.2019 16:25
+
-
edit
 

Вредоносные обновления для программ ASUS от APT-группы ShadowHammer

Одна из наших новых технологий позволила обнаружить, вероятно, самую масштабную в истории атаку через цепочку поставок. //  www.kaspersky.ru
 

Благодаря одной из наших новейших технологий, способной выявлять атаку через цепочку поставок, эксперты «Лаборатории Касперского» обнаружили, вероятно, один из крупнейших инцидентов такого рода (помните историю с CCleaner? В этот раз масштабы еще больше). Киберпреступники добавили бэкдор в утилиту ASUS Live Update, которая доставляет обновления BIOS, UEFI и ПО на ноутбуки и настольные компьютеры ASUS, а затем распространяли модифицированную программу через официальные каналы.

Превращенная в троян утилита была подписана легитимным сертификатом и размещена на официальном сервере обновлений ASUS, что позволило ей долгое время оставаться незамеченной. Преступники позаботились даже о том, чтобы размер у вредоносной утилиты был точно таким же, как у настоящей.

Согласно нашей статистике, более 57 000 пользователей продуктов «Лаборатории Касперского» установили утилиту с бэкдором. Общее же число жертв, вероятно, составляет порядка миллиона. Однако группировку, стоящую за этой атакой, весь миллион не интересует: они нацелились на 600 определенных MAC-адресов, хэши которых были зашиты в различные версии утилиты. Мы сделали специальный инструмент, при помощи которого вы можете проверить, нет ли вашего MAC-адреса в списке целей. Он доступен на странице Shadow Hammer APT MAC Check.

Расследуя атаку, мы обнаружили, что те же самые техники использовались и для заражения ПО трех других производителей. Разумеется, мы немедленно уведомили ASUS и другие компании об атаке. На настоящий момент все решения «Лаборатории Касперского» обнаруживают и блокируют модифицированные злоумышленниками утилиты, однако мы все же рекомендуем вам обновить ASUS Live Update Utility, если вы ею пользуетесь. Расследование пока продолжается.

ShadowHammer: новые подробности

Инцидент с ASUS — лишь часть крупномасштабной операции. //  www.kaspersky.ru
 

23 апреля 2019

В предыдущей статье, посвященной операции группировки ShadowHammer, мы обещали опубликовать дополнительные детали после конференции Security Analyst Summit. Расследование продолжается до сих пор, но наши исследователи уже могут сообщить новые подробности этой хитроумной атаки через цепочку поставок.

Масштаб операции

Как мы уже говорили, ASUS оказалась не единственной компанией, которую использовали злоумышленники для доставки своих зловредов. Изучая этот инцидент, наши эксперты обнаружили и другие образцы, которые работали по схожим алгоритмам и, как и в случае с ASUS, применяли цифровые подписи трех других азиатских ИТ-компаний:

Electronics Extreme, разработчика игры Infestation: Survivor Stories в жанре «зомби-апокалипсис»;
Innovative Extremist, поставщика веб-сервисов и ИТ-инфраструктур, также занимавшегося разработкой игр;
Zepetto, южнокорейского разработчика видеоигры Point Blank.

По данным наших исследователей, атаковавшие либо имели доступ к исходному коду проектов компаний-жертв, либо внедрили вредоносный код на этапе компиляции проектов, что означает, что у них был доступ к сетям этих компаний. В связи с этим сразу же вспоминается еще одна атака, о которой мы писали в прошлом году: инцидент с CCleaner.

Кроме того, наши эксперты обнаружили еще три потенциальные жертвы: компанию — разработчика видеоигр, крупный холдинг и фармацевтическую компанию; все три базируются в Южной Корее. На данный момент мы информируем их о случившейся атаке и пока не можем разглашать дополнительные подробности.

Конечные цели

В случае с Electronics Extreme, Innovative Extremist и Zepetto скомпрометированное ПО устанавливало на компьютеры жертв сравнительно простую вредоносную начинку. Она могла собирать информацию о системе, в частности имена пользователей, спецификации оборудования и версии операционных систем, а также загружать вредоносные объекты с C&C-серверов. В отличие от эпизода с ASUS, список потенциальных жертв уже не ограничивался набором MAC-адресов.

Заметим, что и список из 600 с лишним MAC-адресов не обязательно означает, что жертв было ровно столько же — как минимум один из них принадлежал виртуальному сетевому адаптеру, так что один и тот же MAC-адрес был связан с несколькими пользователями.

Дополнительную техническую информацию можно найти на сайте Securelist.
Как не стать звеном в атаке через цепочку поставок

Все вышеперечисленные инциденты связывает то, что атаковавшие раздобыли легальные сертификаты и, по-видимому, скомпрометировали среды разработки своих жертв. Чтобы избежать такого вмешательства, наши эксперты рекомендуют поставщикам программного обеспечения добавить в свой процесс контроля еще одну проверку на наличие вредоносных закладок, которая проводилась бы уже после цифровой подписи файлов.
   57.057.0
LT Bredonosec #01.11.2019 16:29
+
-
edit
 

Вредоносные USB-устройства как вектор атаки

HID-устройства, превращенные в «троянских коней», и кабели-шпионы могут использоваться для проникновения даже в изолированные системы. //  www.kaspersky.ru
 

Вредоносные USB-устройства как вектор атаки
19 апреля 2019

На конференции #TheSAS2019 Лука Бонджорни (Luca Bongiorni) из компании Bentley Systems говорил, что часто вредоносное ПО попадает в промышленные системы управления через USB-устройства. Те, кто хоть как-то связан с кибербезопасностью, наверняка не раз слышали поучительные истории о флешках, разбросанных по парковкам, — это уже классика.

Но недавно произошел реальный случай. Cотрудник промышленного предприятия скачал фильм «Ла-Ла Ленд» на флешку. В итоге в изолированную сеть атомной электростанции попало вредоносное ПО.

Однако не стоит забывать о том, что USB-устройства — это не только флешки. Устройства типа human interface devices (HID), такие как клавиатуры и мыши, зарядные кабели для смартфонов и даже плазменные шары и термокружки — все они могут быть использованы при атаке на промышленные системы.

Краткая история зловредных USB-устройств

Кибероружие в виде USB-устройств появилось довольно давно, первые модели увидели свет еще в 2010 году. В них была небольшая программируемая плата Teensy со стандартным USB-разъемом. Они могли имитировать работу HID-устройства (например, клавиатуры). Злоумышленники быстро сообразили, что такие устройства можно использовать для проникновения: они разработали версию, которая умела создавать новых пользователей в системе, запускать программы с бэкдорами и загружать в систему вредоносное ПО, копируя его с устройства или скачивая с сайта.

Первая модификация Teensy получила название PHUKD. За ней последовала Kautilya, совместимая с большинством популярных плат Arduino. Позже появился Rubberducky — пожалуй, самый известный USB-эмулятор нажатий клавиш (скажем спасибо Mr. Robot), выглядевший как обычная флешка. Более мощное устройство под названием Bash Bunny использовалось для атак на банкоматы.

Изобретатель PHUKD не остановился на достигнутом и создал «троянскую мышь», встроив в нее плату для тестирования системы на проникновение. Это с виду обычное периферийное устройство умело делать все, на что был способен PHUKD. С точки зрения социальной инженерии использовать HID-устройства для вторжения в систему может быть даже проще, чем пытаться делать это с помощью USB-флешек. Даже человек, который знает о том, что неизвестную флешку в компьютер вставлять не стоит, вряд ли задумается об опасности подключения клавиатуры или мыши.

Второе поколение вредоносных USB-устройств было создано в 2014–2015 годах — среди них, в частности, печально известные решения на базе BadUSB. Еще заслуживают упоминания TURNIPSCHOOL и Cottonmouth, которые, возможно, были разработаны Агентством национальной безопасности США. Эти устройства были настолько крохотными, что запросто помещались внутри USB-кабеля. С их помощью можно было добыть данные даже из компьютеров, которые не были подключены ни к каким сетям. Это же самый обычный кабель — кто заподозрит неладное?

Как сейчас обстоят дела со зловредными USB-устройствами

Третье поколение USB-устройств, тестирующих системы на проникновение, — это уже совершенно другой уровень. Один из таких инструментов — WHID Injector. По сути, это Rubberducky с возможностью удаленного подключения. Благодаря поддержке Wi-Fi его уже не надо заранее программировать на определенный род деятельности: преступник может управлять устройством дистанционно, что дает ему возможность действовать по ситуации и работать в разных операционных системах. Еще один инструмент третьего поколения — P4wnP1, основанный на Raspberry Pi, модификация Bash Bunny с дополнительными функциями, включая беспроводное подключение.

Разумеется, и WHID Injector, и Bash Bunny достаточно компактны и легко помещаются в клавиатуру или мышь. На этом видеоролике показан ноутбук, который не подключен к Интернету ни по локальной сети, ни через Wi-Fi, но к нему подсоединена клавиатура с трояном, которая позволяет атакующему удаленно выполнять команды и запускать приложения.
 

Миниатюрные USB-устройства вроде тех, о которых мы говорили выше, можно запрограммировать так, чтобы они выдавали себя за определенную модель HID-устройства. Так можно обходить политики безопасности в компаниях, где требуют использовать мыши и клавиатуры только определенных производителей. В инструментах вроде WHID Injector также может быть микрофон, который используется для прослушки и наблюдения за сотрудниками. Одного такого устройства может быть достаточно, чтобы скомпрометировать всю сеть целиком, если она не сегментирована надлежащим образом.

Как защитить системы от вредоносных USB-устройств

Троянизированные мыши, клавиатуры и кабели-шпионы представляют серьезную угрозу даже для изолированных систем. Сегодня инструменты для таких атак стоят дешево, а чтобы их программировать, не нужны специальные навыки. Так что вам следует постоянно быть начеку.

Для защиты критически важной инфраструктуры следует использовать многоуровневый подход.

Во-первых, обеспечьте безопасность на физическом уровне, чтобы посторонний не смог подключить USB-устройство к системе управления. Заблокируйте неиспользуемые USB-порты физически, также желательно исключить возможность извлечения уже подключенных HID-устройств.
Проинструктируйте сотрудников, чтобы они были в курсе возможных угроз, в том числе со стороны вредоносных USB-устройств (как, например, в инциденте с «Ла-Ла Ленд»).
Сегментируйте сеть и сконфигурируйте права доступа таким образом, чтобы злоумышленники не смогли добраться до систем управления критически важной инфраструктурой.
Защитите все системы предприятия с помощью решений, которые могут обнаруживать все возможные угрозы. В Kaspersky Endpoint Security for Business имеется технология, которая не дает подключить HID-устройство, если пользователь не подтвердит операцию кодом, введенным с уже авторизованного HID-устройства.
   57.057.0
LT Bredonosec #01.11.2019 16:53  @Bredonosec#01.11.2019 16:29
+
-
edit
 
Bredonosec> Но недавно произошел реальный случай. Cотрудник промышленного предприятия скачал фильм «Ла-Ла Ленд» на флешку. В итоге в изолированную сеть атомной электростанции попало вредоносное ПО.

забыл линк кинуть, а зря. статья любопытная

Another Cyberattack Spotted Targeting Mideast Critical Infrastructure Organizations

Operation Copperfield appears focused on data theft and reconnaissance, Nyotron says. //  www.darkreading.com
 

автор считает, что атака проходила из саудовской аравии или ирана или ... потому что в коде обнаружены некие арабские слова.
Но сноуден озвучивал вполне очевидное решение по путанию следов, используемое в анб, - софт, подменяющий некие внутренние переменные или комментарии на язык выбранной жертвы - арабский, русский, корейский, китайский, т.д. для имитации ложного следа якобы оттуда.

Приблуда использовала червя 4-летней давности - Copperfield, is based on H-Worm aka Houdini, a four-year-old remote access trojan (RAT)
Зараза использовала для попадания в систему усб, а потом распространялась иными методами.

Автор использовал $25 generic crypter toolпо имени BronCoder чтоб изменить структуру и hash of the Visual Basic Script-based H-Worm, чтоб обычные сигнатурные антивири его не засекали.

Атакующие также использовали "уникальный" (ну,не уникальный, но красивый, да) метод маскировки: системные файлы зараженной системы подменяются на LNK ссылки с теми же иконками, что и оригинальный файл. В результате клика файл выполняется как положено, но!
Но при этом в фоне выполняется и вредоносный процесс.

Как и оригинальный червь, H-Worm, Copperfield юзает средство автоматизации in Windows — Windows Script Host - для сбора инфы, передачи её на внешние серверы, скачки кейлоггеров и прочей малвари, установки её в систему и сливании с них инфы наружу.

Словом, средство вполне профессиональное. Задачи, источники - болтология, уже малоинтересная, бо носоковыряние, основанное на арабских словах в коде, которые ничего не значат по сути.
   57.057.0
LT Bredonosec #01.11.2019 17:20  @Bredonosec#01.11.2019 16:29
+
-
edit
 
Bredonosec> Первая модификация Teensy получила название PHUKD. За ней последовала Kautilya, совместимая с большинством популярных плат Arduino. Позже появился Rubberducky — пожалуй, самый известный USB-эмулятор нажатий клавиш (скажем спасибо Mr. Robot), выглядевший как обычная флешка. Более мощное устройство под названием Bash Bunny использовалось для атак на банкоматы.
Bredonosec> Второе поколение вредоносных USB-устройств было создано в 2014–2015 годах — среди них, в частности, печально известные решения на базе BadUSB.
тоже замечательные ссылки... прям таки море возможностей, которые нормально никто не лимитирует в даже защищенных организациях (подключение левых мышей и клав самими сотрудниками, которым подаренная красивая покажется отличной идеей для использования на работе, или возможность воткнуть микро-хрень в порт компа сотрудника, принимающего клиентов, или левые усб приблуды типа вентиляторов-лампочек-часов-игрушек, столь любимых скучающими офисниками..

там пишут
У этой атаки есть как минимум одно сомнительное место — злоумышленник должен физически присутствовать на территории офиса жертвы. Поэтому начать следует с ограничения доступа к сети из мест, в которые потенциально могут зайти посторонние.

Следует отключить неиспользуемые Ethernet-розетки в местах общего доступа.
Если такой возможности нет, имеет смысл выделить их в изолированный сегмент сети.
В идеале Ethernet-розетки должны быть в зоне видимости камер безопасности (по крайней мере, это здорово поможет в расследовании инцидента).
Используйте защитные решения с надежными технологиями контроля подключаемых устройств
Подумайте над необходимостью применения специализированных решений для регистрации аномалий и подозрительной активности в сети,
 

но это не совсем так - подключить левую приблуду может и сам сотрудник, и никому о том не скажет, потому что не захочет, чтоб отняли игрушку, а если что, всегда можно сослаться на "и ваще я дурак, чего от меня хотите?"
   57.057.0
LT Bredonosec #01.11.2019 17:31
+
-
edit
 

Глубокое заражение: 5 угроз, проникающих в железо

Железо обычно считается относительно чистым и «безгрешным» — в противоположность софту, напичканному багами и кишащему зловредами. Но это уже давно не так. //  www.kaspersky.ru
 

Мы привыкли делить IT-безопасность на две неравные половинки из железа и софта. Железо обычно считается относительно чистым и «безгрешным» — в противоположность софту, напичканному багами и кишащему зловредами.

Долгое время такая система ценностей работала неплохо, но за последние годы начала давать все больше сбоев. Теперь уязвимости нередко находят уже и в микропрограммах, управляющих отдельными «железками». Что самое неприятное, традиционные средства обнаружения угроз в этом случае зачастую бессильны.

Для иллюстрации этой тревожной тенденции рассмотрим пятерку опасных аппаратных уязвимостей, обнаруженных за последнее время в начинке современных компьютеров.

1 место: оперативная память

Первое место безоговорочно занимает проблема с оперативной памятью DDR DRAM, которую принципиально невозможно решить никаким программным патчем. Уязвимость, получившая название Rowhammer, связана… с прогрессом технологий производства чипов.

По мере того как микросхемы становятся компактнее, их соседние элементы все больше влияют друг на друга. В современных чипах памяти это может приводить к редкому эффекту самопроизвольного переключения ячейки памяти под действием электрического импульса от соседей.

До недавних пор предполагалось, что этот феномен практически невозможно использовать в реальной атаке для получения контроля над компьютером. Однако команде исследователей удалось таким образом получить привилегированные права на 15 из 29 тестовых ноутбуков.

Работает эта атака следующим образом. Для обеспечения безопасности изменения в каждый блок оперативной памяти могут вносить только определенная программа или процесс операционной системы. Условно говоря, некий важный процесс работает внутри хорошо защищенного дома, а неблагонадежная программа — на улице, за входной дверью.

Однако выяснилось, что если за входной дверью громко топать (быстро и часто менять содержимое ячеек памяти), то дверной замок с высокой вероятностью ломается. Такие уж замки ненадежные стали нынче делать.

Память более нового стандарта DDR4 и модули с контролем четности (которые стоят существенно дороже) к этой атаке невосприимчивы. И это хорошая новость.

Плохая же состоит в том, что очень многие современные компьютеры взломать таким образом можно. И сделать с этим ничего нельзя, единственное решение — поголовная замена используемых модулей памяти.

2 место: жесткие диски

Раз уж мы начали с оперативной памяти, было бы несправедливо обойти стороной и жесткие диски. Благодаря недавнему расследованию деятельности хакерской группы Equation, проведенному «Лабораторией Касперского», мы теперь знаем, что прошивка микроконтроллера винчестеров тоже может содержать в себе много интересного.

Например, зловредные модули, перехватывающие управление диском и работающие фактически в «режиме Бога». Вылечить жесткий диск после такого внедрения невозможно: «испорченная» взломщиками микропрограмма винчестера просто скрывает области диска, в которые записывается основная часть вредоносного ПО, и блокирует попытки заменить саму микропрограмму. И форматирование не поможет: все, что можно сделать, — это уничтожить зараженный диск физически.

Хорошая новость состоит в том, что такая атака — крайне трудоемкое и дорогостоящее мероприятие. Поэтому подавляющему большинству пользователей данная опасность не грозит — только особым счастливчикам, чьи данные настолько ценны, что их кража способна окупить расходы.

3 место: интерфейс USB

На третьем месте в нашем хит-параде уже не очень свежая, но по-прежнему актуальная уязвимость интерфейса USB. Совсем недавно новую жизнь в эту тему вдохнула современная компьютерная мода. Дело в том, что последние модели ноутбуков Apple MacBook и Google Pixel оснащены универсальным портом USB, через который в числе прочего подключается и зарядное устройство.

На первый взгляд ничего плохого здесь нет, всего лишь красивая унификация интерфейсов. Проблема в том, что подключение любого устройства через шину USB — дело небезопасное. Мы уже писали о критической уязвимости BadUSB, обнаруженной летом прошлого года.

Она позволяет внедрить вредоносный код непосредственно в микроконтроллер USB-устройства (флешки, клавиатуры и любого другого устройства) — там, где его не обнаружит, увы, ни одна антивирусная программа, даже самая хорошая. Тем, кому есть что терять, эксперты по безопасности советуют на всякий пожарный просто не пользоваться USB-портами. Вот только для новых Макбуков такая рекомендация нереализуема в принципе — зарядку же нужно подключать!

Vladislav Biryukov

26 постов

Новости Угрозы

BadUSB BIOS Equation Rowhammer Thunderstrike безопасность угрозы

Поделиться
Глубокое заражение: 5 угроз, проникающих в железо
30 марта 2015

Мы привыкли делить IT-безопасность на две неравные половинки из железа и софта. Железо обычно считается относительно чистым и «безгрешным» — в противоположность софту, напичканному багами и кишащему зловредами.
Глубокое заражение: 5 угроз, проникающих в железо

Долгое время такая система ценностей работала неплохо, но за последние годы начала давать все больше сбоев. Теперь уязвимости нередко находят уже и в микропрограммах, управляющих отдельными «железками». Что самое неприятное, традиционные средства обнаружения угроз в этом случае зачастую бессильны.

Для иллюстрации этой тревожной тенденции рассмотрим пятерку опасных аппаратных уязвимостей, обнаруженных за последнее время в начинке современных компьютеров.
1 место: оперативная память

Первое место безоговорочно занимает проблема с оперативной памятью DDR DRAM, которую принципиально невозможно решить никаким программным патчем. Уязвимость, получившая название Rowhammer, связана… с прогрессом технологий производства чипов.

По мере того как микросхемы становятся компактнее, их соседние элементы все больше влияют друг на друга. В современных чипах памяти это может приводить к редкому эффекту самопроизвольного переключения ячейки памяти под действием электрического импульса от соседей.

До недавних пор предполагалось, что этот феномен практически невозможно использовать в реальной атаке для получения контроля над компьютером. Однако команде исследователей удалось таким образом получить привилегированные права на 15 из 29 тестовых ноутбуков.

Работает эта атака следующим образом. Для обеспечения безопасности изменения в каждый блок оперативной памяти могут вносить только определенная программа или процесс операционной системы. Условно говоря, некий важный процесс работает внутри хорошо защищенного дома, а неблагонадежная программа — на улице, за входной дверью.

Однако выяснилось, что если за входной дверью громко топать (быстро и часто менять содержимое ячеек памяти), то дверной замок с высокой вероятностью ломается. Такие уж замки ненадежные стали нынче делать.

Память более нового стандарта DDR4 и модули с контролем четности (которые стоят существенно дороже) к этой атаке невосприимчивы. И это хорошая новость.

Плохая же состоит в том, что очень многие современные компьютеры взломать таким образом можно. И сделать с этим ничего нельзя, единственное решение — поголовная замена используемых модулей памяти.
2 место: жесткие диски

Раз уж мы начали с оперативной памяти, было бы несправедливо обойти стороной и жесткие диски. Благодаря недавнему расследованию деятельности хакерской группы Equation, проведенному «Лабораторией Касперского», мы теперь знаем, что прошивка микроконтроллера винчестеров тоже может содержать в себе много интересного.

Например, зловредные модули, перехватывающие управление диском и работающие фактически в «режиме Бога». Вылечить жесткий диск после такого внедрения невозможно: «испорченная» взломщиками микропрограмма винчестера просто скрывает области диска, в которые записывается основная часть вредоносного ПО, и блокирует попытки заменить саму микропрограмму. И форматирование не поможет: все, что можно сделать, — это уничтожить зараженный диск физически.

Хорошая новость состоит в том, что такая атака — крайне трудоемкое и дорогостоящее мероприятие. Поэтому подавляющему большинству пользователей данная опасность не грозит — только особым счастливчикам, чьи данные настолько ценны, что их кража способна окупить расходы.
3 место: интерфейс USB

На третьем месте в нашем хит-параде уже не очень свежая, но по-прежнему актуальная уязвимость интерфейса USB. Совсем недавно новую жизнь в эту тему вдохнула современная компьютерная мода. Дело в том, что последние модели ноутбуков Apple MacBook и Google Pixel оснащены универсальным портом USB, через который в числе прочего подключается и зарядное устройство.

На первый взгляд ничего плохого здесь нет, всего лишь красивая унификация интерфейсов. Проблема в том, что подключение любого устройства через шину USB — дело небезопасное. Мы уже писали о критической уязвимости BadUSB, обнаруженной летом прошлого года.

Она позволяет внедрить вредоносный код непосредственно в микроконтроллер USB-устройства (флешки, клавиатуры и любого другого устройства) — там, где его не обнаружит, увы, ни одна антивирусная программа, даже самая хорошая. Тем, кому есть что терять, эксперты по безопасности советуют на всякий пожарный просто не пользоваться USB-портами. Вот только для новых Макбуков такая рекомендация нереализуема в принципе — зарядку же нужно подключать!

Скептики могут возразить, что в стандартном адаптере питания вредоносный код не запишешь, ибо некуда. Но это беда поправимая: при желании зарядку можно «творчески доработать» (аналогичная задача по инфицированию iPhone через зарядное устройство была решена уже больше двух лет назад).

Дальше остается только стратегически грамотно поместить такое «троянское питание» для публичного использования в каком-нибудь публичном месте. Или подменить зарядку жертвы, если речь идет об адресной атаке.

4 место: интерфейс Thunderbolt

Четвертое место в чарте занимает тоже «портовая» уязвимость, только связанная с другим интерфейсом — Thunderbolt. Оказывается, подключение через него также весьма небезопасно. Соответствующий сценарий атаки для устройств под управлением Mac OS X продемонстрировал в конце прошлого года исследователь в области безопасности Тремелл Хадсон.

Созданный им буткит Thunderstrike (кстати, первый буткит для яблочной операционной системы) использует функцию загрузки дополнительных модулей прошивки с внешних устройств. Thunderstrike подменяет ключи цифровых подписей в BIOS, которые используются для проверки обновлений, после чего с компьютером можно творить все что заблагорассудится.

После публикации исследования Хадсона Apple заблокировала возможность такой атаки в обновлении операционной системы (OS X 10.10.2). Правда, по словам Хадсона, этот патч — всего лишь временное решение. Принципиальная основа уязвимости по-прежнему остается нетронутой, так что история явно ждет продолжения.

5 место: BIOS

Когда-то каждый разработчик BIOS для материнских плат ПК использовал собственные рецепты, которые держались в секрете. Разобраться в устройстве таких микропрограмм было очень непросто, а значит, мало какой хакер был способен обнаружить в них баги.

С распространением UEFI изрядная часть кода для разных платформ стала общей, и это здорово облегчило жизнь не только производителям компьютеров и разработчикам BIOS, но и создателям зловредов.

Например, одна из недавних уязвимостей UEFI-систем позволяет перезаписать содержимое BIOS, несмотря на все ухищрения защиты, включая новомодную функцию Secure Boot в Windows 8. Ошибка допущена в реализации стандартной функции, поэтому работает во многих версиях BIOS разных производителей.

Большинство описанных выше угроз пока остаются некой экзотикой, с которой рядовые пользователи едва ли столкнутся. Однако завтра ситуация может в корне измениться — возможно, скоро мы с умилением будем вспоминать старые добрые времена, когда самым надежным способом лечения зараженного компьютера считалось форматирование жесткого диска.
   57.057.0
Последние действия над темой
1 6 7 8 9 10 11 12

в начало страницы | новое
 
Поиск
Настройки
Твиттер сайта
Статистика
Рейтинг@Mail.ru