На днях Компьютерная группа реагирования на чрезвычайные ситуации (CERT) Ирана сделала заявление об обнаружении нового зловреда, удаляющего данные. Продукты «Лаборатории Касперского» детектируют этот зловред как Trojan.Win32.Maya.a.

Угроза носит крайне примитивный характер. По сути, злоумышленник создал BAT-файлы и затем при помощи утилиты BAT2EXE преобразовал их в файлы Windows PE. По видимости, была использована вот эта утилита BAT2EXE или её вариант.

На конференции по безопасности CanSecWes, которая проходила в Ванкувере, Канада, я подменил Костина Райю и сделал доклад о нашем участии в исследовании командных серверов Duqu.

Тем временем, Google Chrome взломали. Опять. Сдаётся мне, что 60 тысяч долларов — не такие уж большие деньги за обнаружение уязвимости нулевого дня в Chrome, даже с учетом обхода песочницы. Вызывает удивление обнаружение сразу нескольких 0-day уязвимостей, особенно учитывая, как хорошо браузер показал себя на состязании хакеров Pwn2Own.

Я также нашёл весьма любопытными ответы Алекса Райса (Alex Rice) из Facebook на вопросы слушателей после презентации. Презентация Алекса была посвящена социальному CAPTCHA-коду — вторичной аутентификации, использующей фотографии френдов, которая начинает действовать, когда система подозревает, что аккаунт пользователя скомпрометирован или захвачен фишерами.

Введение этой системы означает, что массовые фишинг-атаки на Facebook ушли в прошлое — они стали неэффективными. Тем не менее, на презентации было много комментариев по поводу того, как эту систему можно обойти в ходе целевой атаки.

Очевидно, любую систему, которая устраняет целый класс атак, не влияя при этом на удобство пользователей, следует считать большим успехом. Facebook заслуживает похвалы за это решение; однако, компания пока получает в основном критику от пользователей.

Такое количество критики беспокоит: мы не должны отвергать идеи или системы только из-за того, что они оказались не слишком эффективными против целевых атак. Хорошо бы отойти от черно-белой парадигмы восприятия. В конце концов, большая часть (кибер-)преступности не направлена на четко определенные цели. Давайте не будем об этом забывать.

Голландский сертифицирующий орган KPN/Getronics объявил о приостановке выдачи цифровых сертификатов.

Причиной такого решения стал обнаруженный факт взлома веб-сервера KPN, связанного с инфраструктурой открытых ключей (PKI). Взлом произошел не менее четырех лет назад.

Компания KPN, наиболее известная своим бизнесом в сфере телекоммуникаций, купила компанию Getronics четыре года назад. До этого Getronics имела полномочия сертифицирующего органа, аналогичные полномочиям компании Diginotar.Как и Diginotar, KPN обладает разрешением выдавать «специальные» сертификаты для правительства Нидерландов и государственных служб. Многие организации, пострадавшие из-за инцидента с Diginotar, взамен получили сертификаты от KPN.

Пока неясно, можно ли исключить взлом одного или нескольких серверов какого-либо сертифицирующего органа – это станет известно чуть позже. Также требует ответа вопрос: как инструмент DDoS-атаки мог оставаться необнаруженным в течение четырех лет. С другой стороны, компании занялись повышением уровня внутренней безопасности, и я бы ожидал, что в будущем еще будут обнаружены факты подобных взломов, совершенных годы назад.

Касательно заявления KPN интересно то, что его можно проинтерпретировать в том ключе, что уже выданные сертификаты останутся действительными (в любом случае). KPN – значительно более крупный сертифицирующий орган, чем Diginotar. Возможно, пользователи считают, что KPN «слишком велик, чтобы рухнуть».

Учитывая, что память о крахе Diginotar еще свежа, люди естественным образом стремятся пойти путем наименьшего сопротивления. В конце концов, если бы что-то пошло не так, мы бы все это давно заметили, не так ли?

Факт остается фактом: в данный момент мы абсолютно доверяем сертифицирующим органам. В такой ситуации надо поступить правильно.

Мы продолжаем следить за развитием ситуации.

Вчера я написал блог о старой версии Adobe Flash Player в недавно приобретенном мной Google Chromebook. Днем ранее, во вторник, я отправил письмо в Adobe PSIRT и спросил, известно ли компании о том, что происходит с этой более ранней версией.

Сегодня мне ответили из Adobe, что версия Flash Player 10.2.158.27 является последней версией Flash для Chromebooks. Этот патч был выпущен вчера после публикации моего блога. (как Вы можете видеть, на моем скриншоте стоит версия 10.2.158.26)

В данный момент нам неизвестно, что исправлено в последней конфигурации. В некоторых источниках утверждается, что версия 10.2.158.26 уже включала все защитные заплаты. Мы ждем окончательного подтверждения от Adobe по этому вопросу.

В связи с этим возникает еще один вопрос — почему ChromeOS обновляется в Flash 10.2 branch? Согласно собственной документации Adobe 10.2.x.x должна все же содержать некоторые незакрытые уязвимости.

На этой неделе я наконец-то получил свой Samsung Chromebook. Мой интерес к этой платформе в особенности возрос после того, как мой коллега Костин Райю после представления Chromebook провел превосходный анализ платформы.

Google утверждает, что платформы Chromebooks безопасны настолько, что даже не требуют использования антивирусной программы. Разумеется, после такого заявления я заинтересовался защитным механизмом системы.

В этом месяце Microsoft выпускает 17 бюллетеней, закрывающих 63 уязвимости в различных продуктах Windows. Из этих уязвимостей 12 обозначены как «критические», 51 отмечена как «важная».

Около половины уязвимостей закрываются бюллетенем MS11-034. Это уязвимости вида Elevation of Privilege в ядре Windows.

Уязвимости Elevation of Privilege получили широкое распространение с ростом популярности Windows 7 и «песочниц» (sandboxes). Такие уязвимости могут использоваться для обхода контроля учетных записей (UAC), что позволяет программе без ведома пользователя получить полные привилегии администратора.

В последнее время наметилась тенденция: количество EoP-уязвимостей в новых продуктах Microsoft превосходит количество уязвимостей вида Remote Code Execution. Высока вероятность того, что в ближайшие месяцы эта тенденция сохранится.

В этом месяце Microsoft также выпустит две рекомендации по безопасности для Windows и Office.

Почти месяц назад мы предупреждали об очередной zero-day уязвимости в Adobe Flash Player, которая в тот момент активно эксплуатировалась злоумышленниками в ходе целевых атак. Тогда в файлы Microsoft Excel внедрялись вредоносные SWF-файлы; Excel при этом использовался исключительно как средство доставки вредоносного кода.

В этом месяце настала очередь Microsoft Word. Согласно данным, опубликованным Брайаном Кребсом, вредоносный документ Word имеет много общего с вредоносным Excel-файлом, о котором мы писали ранее. Судя по всему, новый зловред либо создан теми же авторами, либо навеян их творением.

Тем не менее, эти два зловреда имеют некоторые отличия. Так, в данном случае в атаке используется не Poison Ivy, а другой бэкдор, который некоторые специалисты по IT-безопасности называют Zolpiq, хотя большинство используют generic-обозначение.

По сравнению с Poison Ivy, Zolpiq ведет себя в системе более скрытно. Этим можно объяснить тот факт, что в этой волне атак он заменил популярный Poison Ivy. Начиная с 10 апреля продукты «Лаборатории Касперского» детектируют новый бэкдор как Trojan-Dropper.Win32.Small.hgt.

Комментарии прошлого месяца по-прежнему актуальны. Чтобы борьба с целевыми атаками была более эффективной, производителям ПО следовало бы позволить отключать в своих продуктах определенные функции. Лично мне не нужна возможность просматривать Flash-файлы, внедренные в документы Word или Excel — думаю, что и вам тоже. Однако в данный момент пользователь может только удалить приложение — других вариантов у него нет.

С тех пор как в прошлом году героем новостей стал Stuxnet, возник повышенный интерес к системам промышленного мониторинга (ICS, industrial control systems). Об этом свидетельствует и то, что сейчас мы наблюдаем в открытом доступе всплеск 0-day (незакрытых) уязвимостей и эксплойтов.

В начале этой недели мы обнаружили как минимум 34 незакрытых уязвимости, помещенных на Bugtraq. В статье, опубликованной на The Register, упоминается также пакет эксплойтов для систем SCADA, который сейчас предлагается для продажи пентестерам (сокр. от penetration test).

Я против полного раскрытия, но эти события ясно показывают, что существует устойчивый интерес к системам, которые отвечают за объекты жизнеобеспечения — от светофоров до электроэнергетических систем и систем контроля аэропортов.

В этой области есть несколько весьма интересных моментов. Самое главное в ICS/SCADA — надежность/время безотказной работы, а безопасность оказывается на втором плане.

Существуют компании, оборудование которых непрерывно работает более 28 лет. Это означает, что они пользуются операционными системами, созданными лет 30 назад. Это также значит, что, если ничего не случится, то пройдет еще пара десятков лет, прежде чем будут внесены какие-то серьезные изменения в систему безопасности.

Системы промышленного мониторинга находятся прямо на стыке частного и государственного пользования. Объектами жизнеобеспечения управляют компании, которые обслуживают население. И именно контроль со стороны государства заставляет многие эти компании серьезно заниматься вопросами безопасности.

Правительства не всегда оперативны в решении вопросов, но все же главный посыл к работе над усилением безопасности ICS/SCADA должен исходить от них.

Надеюсь, освещение в СМИ вопросов, касающихся уязвимостей, поможет решению проблемы.

14 марта Adobe опубликовала сообщение об уязвимости в Flash Player, позволяющей удаленное исполнение кода. Уязвимость также затрагивает Adobe Reader и Acrobat.

Этой критической уязвимости присвоен номер CVE-2011-0609.

Атаки, наблюдаемые в настоящее время, происходят через вредоносный SWF-файл, внедренный в файл Excel. Чтобы злоумышленники получили возможность эксплуатировать уязвимость в Flash Player, пользователь должен открыть вредоносный XLS-файл.

Такая структура является идеальной для проведения целевых атак. И действительно, сообщения о подобных атаках уже имеются.

Тестирование показало, что эксплойт не работает под Windows 7, в то время как под Windows XP он выполняется без проблем. Есть вероятность, что с помощью ROP-эксплойта эту уязвимость можно будет использовать и под Windows 7.

Считайте меня консерватором, но я не вижу смысла в возможности внедрения SWF-файлов в документы Excel. С моей точки зрения, это яркий пример того, как избыточный функционал продукта может привести к проблемам безопасности.

Было бы здорово, если бы компания Microsoft позволила пользователям отключать эти излишние функции. Либо, как вариант, Adobe могла бы запретить такое внедрение, чтобы ограничить возможности для проведения подобных атак.

Причина, по которой киберпреступники используют Excel в качестве средства доставки вредоносного кода, достаточно проста — это позволяет осуществить атаку по электронной почте. Так что будьте особенно осторожны, когда получаете в письмах XLS-файлы, которых вы не ждали.

Adobe выпустит патч на следующей неделе (21-25 марта). Патч к Reader X будет выпущен только 14 июня, поскольку, как сообщает Adobe, защищенный режим в данном продукте обеспечивает достаточный уровень безопасности.

Как, возможно, знают давние читатели нашего блога, около трех лет назад я занялся проблемами компьютерных угроз по ту сторону Атлантики. С тех пор я не раз подмечал различия в том, как решаются вопросы безопасности в Европе и Америке.

Одна из областей, где эта разница прекрасно заметна, – это использование секретных вопросов в качестве дополнительной меры безопасности. В Европе секретные вопросы не в ходу, а в США они очень популярны.

Нечего и говорить, что аутентификация с применением альтернативных каналов связи, используемая многими европейскими банками, обеспечивает безопасность куда надежнее, чем секретный вопрос, задаваемый в дополнение к вводу обычного пароля. Банки – это лишь один из примеров. Секретные вопросы нынче можно встретить где угодно.

И вот наступила эра Facebook. Теперь нечасто найдешь секретный вопрос, ответ на который не был бы размещен на Facebook. Особенно плохо обстоит дело с сервисами, позволяющими восстанавливать забытые пароли, правильно ответив на один или несколько секретных вопросов.