Из-за недавней шумихи по поводу Duqu прошел незамеченным выпуск Oracle множества критических обновлений (см. раздел «Ссылки по теме» в правом верхнем углу страницы). Самое интересное, хотя, пожалуй, не самое важное с практической точки зрения – это обновление Java SE BEAST. Oracle утверждает, что закрыла 57 различных уязвимостей в своей продуктовой линейке, включая патчи для Java и Sun Ray – решение на основе виртуализации. Но самый интересный повод для обсуждения – это выпуск патча, закрывающего уязвимость CVE-2011-3389, т.е. бреши в JSSE.

На конференции Ekoparty в Аргентине, о которой мы писали в прошлом месяце, группа исследователей BEAST показала новый эксплойт для взлома SSL/TLS-сессий с использованием методики, описанной почти десять лет назад. Понятно, что интерес представляет не описание идеи, а ее реализация, так что эта демонстрация на многих произвела впечатление, а крупным производителям ПО прибавила работы. Среди этих производителей был и Oracle, поскольку продемонстрированный эксплойт использовал уязвимости в Java-коде (исследователи утверждали, что в коде Microsoft Silverlight и Javascript также имеются уязвимости, но эксплойты для них в этот раз не были представлены. К сожалению, код разработанного BEAST эксплойта для уязвимости Silverlight опубликован в сети). Эксплойт чуть не привел к еще более печальным последствиям, когда Mozilla заговорила о возможности блокировать в своих браузерах использование любых Java-надстроек: «В данный момент мы рассматриваем возможность полностью заблокировать Java во всех установках Firefox на компьютерах пользователей. Если мы примем такое решение, то сообщим об этом дополнительно». Несколько странно то, что Oracle довольно низко оценила важность этого обновления, оценив его на 4,3 балла по десятибалльной шкале, где 10 баллов соответствуют уязвимостям, представляющим наибольшую опасность.

В то же время Oracle выпустила шесть разных патчей для Java, оцененных на 10 баллов каждый; из них четыре для недавно выпущенной Java 7. Патчи затрагивают архитектуру самой JRE, AWT, десериализацию и скриптовые компоненты JRE.

По моему опыту, Sun Ray, решение Oracle на основе виртуализации, широко используется в корпоративных облачных сервисах, и администраторам «облака» нужно знать, что производитель выпустил для этой платформы патч, закрывающий уязвимость CVE-2011-3538 и устраняющий связанные с ней проблемы с аутентификацией.

Провайдеры бесплатных облачных сервисов предоставляют гигабайты дискового пространства для хранения данных, а злоумышленники используют его для хранения и распространения вредоносного программного обеспечения. С другой стороны, многие платные легитимные сервисы также привлекательны для киберпреступников — например, Amazon Simple Storage, он же Amazon S3.

Стоимость услуг Amazon S3 не является серьезным препятствиям для успешных киберпреступников. Мой коллега Дмитрий Бестужев уже писал о распространении вредоносного ПО с облачных сервисов Amazon.

Случаи использования облачных сервисов в противозаконных целях далеко не единичны. Согласно нашим исследованиям, злоумышленники используют Amazon для распространения SpyEye уже не первую неделю.

Последнее время в интернете широко обсуждается безопасность публичных облачных сервисов. Провайдеры услуг уверяют, что нет ничего надежней облака, секьюрити-компании уже находят различные угрозы в облаках.

Тем временем спамеры не отстают, и тоже начинают активней использовать бесплатные удаленные ресурсы. Так, недавно мы обнаружили вот такой фишинг для сбора почтовых паролей:

Недавно появились сообщения о том, что «облачные» сервисы компании Amazon были успешно использованы злоумышленниками для атак на Sony. А на днях я обнаружил, что с помощью Amazon Web Services (того самого «облака») распространяются зловреды, крадущие финансовые данные.

Исследователи из университета Северной Каролины в содружестве с IBM создали прототип защитной системы, которая измеряет целостность гипервизора в скрытом режиме и в реальном времени.

Кибератаки на уровне гипервизора пока большая редкость, но в случае успеха их последствия могут быть катастрофическими. HyperSentry автономен от гипервизора и собирает данные по протоколу IPMI, используя собственный канал. Для запуска он вызывает обработчик системных прерываний SMI. В отличие от прочих защитных решений, HyperSentry проверяет не только область, выделенную под гипервизор, но и внутреннюю память ЦП, задействованную в его работе. Таким образом, если хитроумный зловред, скрываясь от обнаружения, задумает передислоцировать гипервизор, он а) не заметит слежки и b) не найдет укромного уголка.

Новый инструмент совместим с платформой Xen и будет представлен на 17-й конференции ACM по компьютерной и сетевой безопасности (CCS 2010). Его авторы в настоящее время работают над созданием версии для среды Linux KVM и надеются, что их технология займет достойную нишу на рынке open-source продуктов. В настоящее время ее реализация ограничивается серверными платформами. По словам разработчиков, одной из перспективных областей применения HyperSentry может стать мониторинг корпоративных систем управления.

Академические исследования на данном направлении финансируют Управление НИР сухопутных войск США, фонд NSF и компания IBM. Ранее этой же командой был создан прототип системы, которая блокирует попытки записи любого исполняемого кода на уровне гипервизора и предотвращает несанкционированные модификации кода. Инструмент был назван HyperSafe [PDF 197 Кб] и может теперь использоваться как дополнение к HyperSentry. Первую разработку в этой области университет Северной Каролины представил на суд общественности в прошлом году.

Похоже, сетевой криминал всерьез принялся за освоение «облачных» сервисов, предоставляющих доступ к таким масштабируемым информационным ресурсам, как программные продукты, дисковое пространство и процессорное время.

Получив от своих клиентов сигнал об угрозе незаконного проникновения в корпоративные сети, консалтинговая компания Ernst & Young попыталась определить ее источники. К своему удивлению сотрудники компании обнаружили, что сканирование портов, которое обычно предваряет сетевую атаку, проводилось с IP-адресов «облачных» служб.

По всей видимости, неизвестные злоумышленники воспользовались широкими возможностями легального сервиса, расплатившись с помощью ворованных кредиток. В этой ситуации они мало чем рискуют: если провайдер пресечет криминальную активность, можно повторить попытку, используя другую поддельную карту.

В описанном случае владельцы «облачного» сервиса быстро отреагировали на жалобу и заблокировали запятнавшие себя аккаунты. Тем не менее, Ernst & Young рекомендует усилить защиту этого вида услуг от злоупотреблений, отказаться от анонимного способа оплаты посредством кредитных карт и продумать способ оперативного оповещения о потенциальных угрозах.