После крупномасштабного взлома базы данных интернет-магазина Zappos руководство компании поступило совершенно правильно, когда быстро и ясно сообщило, к каким данным злоумышленники получили доступ, а к каким нет. При раскрытии информации о произошедшем не было непонятных задержек и путаницы в показаниях. Мне в этой связи вспоминается эпизод с атакой Aurora, когда компания Google неожиданно сообщила об проведенной злоумышленниками атаке на их серверы, в то время как порядка 30 других крупных корпораций, пострадавших от атаки, предпочли спрятать голову в песок и старательно скрывали информацию об инциденте, прикрываясь соглашениями о неразглашении. Zappos сменила пароли 24 миллионов пользователей и отправила каждому из них сообщения о возникшей накануне проблеме.

Microsoft завершает серию патчей этого года обширным выпуском «заплат» на разные случаи. Техническим специалистам был обещан выпуск 14 бюллетелей, и 13 из них вышли именно в декабре. Один из них связан со скандальными событиями и закрывает соответствующий код, и хотя немногие отмечены как «критические», являются ли они менее важными?

Было множество догадок относительно того, что за группировка стоит за Stuxnet и Duqu, и наши исследовали опубликовали на Securelist как минимум полдюжины описаний, посвященных одной только аналитике Duqu. MS11-087 закрывает путь проникновения самого Duqu. Эта уязвимость режима ядра была публично идентифицирована и подтверждена в начале ноября, однако с успехом могла использоваться втихую при проведении атак во всем мире уже более года

Некоторое время назад я писал про «доски предложений» (offer walls), которые используются для организации утечки пользовательских данных и их сбора. Но теперь появились основания считать, что жертвами атаки становятся не только отдельные пользователи. Недавно, просматривая новостной ресурс Reddit, я натолкнулся на рассказ популярного разработчика Android-приложений о том, что другой разработчик украл его приложение, добавил туда код, предназначенный для распространения рекламного спама, и загрузил его на Android Market под тем же названием, но уже через свою учетную запись. Спустя некоторое время я убедился в том, что это правда.

Приложение под названием ElectricSleep было создано Джоном Уиллисом (Jon Willis). Вы можете найти его ВОТ ЗДЕСЬ.

Согласно описанию, приложение может «улучшить качество вашего сна с помощью интеллектуального будильника. ElectricSleep – это будильник, записывающий циклы вашего сна и бережно пробуждающий вас во время фазы быстрого сна. Данные о вашем сне сохраняются и анализируются, чтобы помочь вам разобраться с тем, как вы спите, и выработать привычку к более здоровому сну».

Если сравнить ворованную версию приложения с исходной, следы вмешательства злоумышленников сразу же станут очевидны, стоит только взглянуть на разрешения, запрашиваемые программой:

Не так давно компания Google объявила о скором появлении версии Ice Cream Sandwich, Android 4.0. Казалось бы, Android далеко продвинулся за такое короткое время. Я хотел бы остановиться на усовершенствованиях в области безопасности и дополнительных возможностях этой версии Android.

Android от Google появился в ноябре 2007 года, и его популярность неуклонно росла. В то же время исследователи занялись поиском уязвимостей в нем. Было найдено некоторое количество уязвимостей, от таких, которые дают возможность получить права суперпользователя, например Rage Against the Cage, до ошибок типа cross-application scripting, таких как CVE-2011-2357.

С выпуском Ice Cream Sandwich можно ожидать прогресса в безопасности Android. Google обещает следующее:

Из-за недавней шумихи по поводу Duqu прошел незамеченным выпуск Oracle множества критических обновлений (см. раздел «Ссылки по теме» в правом верхнем углу страницы). Самое интересное, хотя, пожалуй, не самое важное с практической точки зрения – это обновление Java SE BEAST. Oracle утверждает, что закрыла 57 различных уязвимостей в своей продуктовой линейке, включая патчи для Java и Sun Ray – решение на основе виртуализации. Но самый интересный повод для обсуждения – это выпуск патча, закрывающего уязвимость CVE-2011-3389, т.е. бреши в JSSE.

На конференции Ekoparty в Аргентине, о которой мы писали в прошлом месяце, группа исследователей BEAST показала новый эксплойт для взлома SSL/TLS-сессий с использованием методики, описанной почти десять лет назад. Понятно, что интерес представляет не описание идеи, а ее реализация, так что эта демонстрация на многих произвела впечатление, а крупным производителям ПО прибавила работы. Среди этих производителей был и Oracle, поскольку продемонстрированный эксплойт использовал уязвимости в Java-коде (исследователи утверждали, что в коде Microsoft Silverlight и Javascript также имеются уязвимости, но эксплойты для них в этот раз не были представлены. К сожалению, код разработанного BEAST эксплойта для уязвимости Silverlight опубликован в сети). Эксплойт чуть не привел к еще более печальным последствиям, когда Mozilla заговорила о возможности блокировать в своих браузерах использование любых Java-надстроек: «В данный момент мы рассматриваем возможность полностью заблокировать Java во всех установках Firefox на компьютерах пользователей. Если мы примем такое решение, то сообщим об этом дополнительно». Несколько странно то, что Oracle довольно низко оценила важность этого обновления, оценив его на 4,3 балла по десятибалльной шкале, где 10 баллов соответствуют уязвимостям, представляющим наибольшую опасность.

В то же время Oracle выпустила шесть разных патчей для Java, оцененных на 10 баллов каждый; из них четыре для недавно выпущенной Java 7. Патчи затрагивают архитектуру самой JRE, AWT, десериализацию и скриптовые компоненты JRE.

По моему опыту, Sun Ray, решение Oracle на основе виртуализации, широко используется в корпоративных облачных сервисах, и администраторам «облака» нужно знать, что производитель выпустил для этой платформы патч, закрывающий уязвимость CVE-2011-3538 и устраняющий связанные с ней проблемы с аутентификацией.

Пользователям программных продуктов Microsoft нужно установить большую порцию срочных обновлений безопасности. Для Internet Explorer вышло всего одно обновление MS11-081; однако, этот кумулятивный патч устраняет восемь разных уязвимостей, причем эти уязвимости имеют отношение ко всем версиям Windows – от Windows 7 x64 до Windows Server 2008 x64 Service Pack 2.

Хорошая новость заключается в том, что Microsoft разработала утилиту обновления, которая берет на себя большую часть принятия решений, до этого ложившихся на плечи пользователя. Что касается корпоративных продуктов, то у всех системных администраторов есть свой подход к установке обновлений, что может потребовать проведения важных тестов на совместимость и качество.

И пользователям, и корпоративным клиентам в дополнение к патчу, закрывающему восемь критических уязвимостей в Internet Explorer, нужно срочно установить патч MS11-078 Silverlight. При этом гарантий, что его получится установить на вашей системе, нет. Silverlight – это плагин Microsoft к веб-браузеру, обеспечивающий поддержку интерактивного медиаконтента. Установив его, разработчики могут писать приложения Silverlight на любом .NET-языке (C# и т.д.). Иными словами, это конкурент Adobe Flash, только пока не настолько популярный. В любом случае, Internet Explorer и Silverlight – это два широко используемых программных клиента, успешная эксплуатация которых приведет к удаленному выполнению кода под многими версиями Windows. Будет странно, если в ближайшие месяцы в связки эксплойтов не будут добавлены соответствующие эксплойты, которые станут широко использоваться при попытках взлома. Если взломщик загрузит ASP.NET страницу на IIS-сервер, обрабатывающий ASP.NET страницы, и затем исполнит эту страницу, вредоносный код окажется выполненным на сервере. Так что срочно установите обновление.

Из восьми бюллетеней по безопасности, два являются критическими и шесть – важными; они закрывают 23 уязвимости в Internet Explorer, .NET Framework & Silverlight, Microsoft Windows, Microsoft Forefront UAG и Microsoft Host Integration Server. Патч MS11-077 исправляет пару любопытных багов в драйверах ядра Windows, которые потенциально могут использоваться злоумышленниками для атак на все поддерживаемые версии Windows: начиная от Windows Xp SP3 и заканчивая Windows Server 2008 x64 SP2. Среди багов есть и уязвимость типа user-after-free в win32k.sys, приводящая к EoP (Escalation of Priveleges, повышение привилегий), а также переполнение буфера в файле библиотеки шрифтов, приводящие к исполнению произвольного кода.

Сейчас в аэропортах часто встречаются информационные сенсорные киоски, предоставляющие доступ к разнообразной информации, связанной с путешествиями, IP-телефонии и интернету. И это здорово!

Но недавно, когда я возвращался с конференции BlackHat and DefCon 19 и проходил регистрацию в аэропорту Маккаран в Лас-Вегасе, мне на глаза попался один такой аппарат. На мониторе светилась страничка очень хорошо знакомого мне сайта – Facebook! Но не страничка регистрации, как можно было ожидать, а открытая страничка с профилем пользователя. Кто-то просто забыл ее закрыть, и теперь любой желающий мог запросто получить полный доступ ко всем данным рассеянного пользователя и его друзей, поменять статус или информацию в его профиле, писать от его имени сообщения и таким образом испортить репутацию хозяина аккаунта. А вот это уже плохо.

Но еще хуже то, что вы никогда не можете быть уверены в безопасности этих устройств: за вашими персональными данными, логинами, паролями и другой конфиденциальной информацией могут шпионить вредоносные программы. Возможно, не совсем правильно сравнивать такой аппарат с автомобилем, но я все же попробую. Информационные сенсорные киоски в аэропортах (и в других местах) – это своего рода автомобиль на прокат: некоторые позволяют себе лихачить за его рулем, потому что это не их собственность. В применении к компьютерам такое «агрессивное вождение» – это игнорирование вопросов информационной безопасности, ведь неизвестно, установлено ли на такой машине хоть какое-то защитное решение.

Эти системы хороши, если использовать их по прямому назначению, т.е. проверять информацию о рейсах, читать новости и т.д. Но ни в коем случае не следует использовать их для доступа к тем сайтам, где требуется вводить конфиденциальные данные. Если вам нужно проверить почту, зайти на Facebook и т.п., делайте это со своего компьютера. Обычно в аэропортах есть точки интернет-доступа (в Маккаран это вообще бесплатная услуга). Хотите узнать больше о том, как безопасно пользоваться интернетом в дороге? Прочитайте нашу статью «Лето – время беспроводной связи».

Желаем вам приятных и безопасных путешествий!

Пару недель назад, отвечая на вопрос одного из американских изданий о том, чего не хватает российским исследователям в области информационной безопасности – я назвал две вещи:

- Недостаточное владение или отсутствие постоянной практики общения на английском языке. Это значительно затрудняет для них нахождение в курсе происходящих событий, ознакомление с трудами зарубежных коллег и влечет за собой обратный процесс – когда западные эксперты не знакомы с массой российских исследователей безопасности.

- Отсутствие в России действительно профессиональных конференций, сравнимых по составу и контенту с такими мероприятиями, как Black Hat, Defcon, Source и т.д. Только немногие из местных экспертов могут поехать на эти конференции за границу. Это опять же влечет за собой отставание в ознакомлении с новыми событиями и не дает российским экспертам быть полноценной частью мирового сообщества.

В прошлую пятницу в Москве впервые прошел форум Positive Hack Days (PHD), который стал примером, того чего так не хватает отечественному IT-security коммьюнити. Организаторам удивительным образом удалось не только составить программу, покрывающую все самые горячие темы, расследования инцидентов, уязвимостей в браузерах, кибервойну, безопасность SCADA-систем и т.д. но и создать вокруг всего этого очень комфортную атмосферу, позволявшую всем приглашенным постоянное вовлечение – в общение, в наблюдение, в участие.

В этом месяце Microsoft выпускает 17 бюллетеней, закрывающих 63 уязвимости в различных продуктах Windows. Из этих уязвимостей 12 обозначены как «критические», 51 отмечена как «важная».

Около половины уязвимостей закрываются бюллетенем MS11-034. Это уязвимости вида Elevation of Privilege в ядре Windows.

Уязвимости Elevation of Privilege получили широкое распространение с ростом популярности Windows 7 и «песочниц» (sandboxes). Такие уязвимости могут использоваться для обхода контроля учетных записей (UAC), что позволяет программе без ведома пользователя получить полные привилегии администратора.

В последнее время наметилась тенденция: количество EoP-уязвимостей в новых продуктах Microsoft превосходит количество уязвимостей вида Remote Code Execution. Высока вероятность того, что в ближайшие месяцы эта тенденция сохранится.

В этом месяце Microsoft также выпустит две рекомендации по безопасности для Windows и Office.

На прошлой неделе Твиттер отметил свое 5-летие. За время, прошедшее с его появления в июле 2006 года, Твиттер с его 140 символами стал неотъемлемой частью повседневной жизни многих людей. Также Твиттер стал местом проведения множества массовых вредоносных атак — и по сей день успешно используется киберпреступниками.

Проблемы с безопасностью в Твиттере имеют богатую историю, несмотря на его относительно «молодой» возраст. Каких только атак не было в этой сети: и эксплуатация наиболее популярных тем, и взлом паролей администраторов, и захват пользовательских аккаунтов... Продолжать можно долго. Популярность Твиттера и постоянные проколы в его безопасности стали причиной того, что в 2010 году Федеральная комиссия по торговле выдвинула против Твиттера обвинения. В результате Твиттеру пришлось ввести в действие новые политики безопасности, предусматривающие такие средства защиты, как использование по умолчанию SSL-соединений и поддержка OAUTH для сторонних веб-приложений.