Security Week 39: Вечер восхитительных историй о том, как бизнесу наплевать на безопасность

Security Week 39: Вечер восхитительных историй о том, как бизнесу наплевать на безопасность
 
В этот раз новости из нашего дайджеста содержат самоочевидную мораль: многим компаниям плевать на безопасность их клиентов, пока это не наносит прямой финансовый ущерб. К счастью, это касается не всех компаний, но эта неделя выдалась особенно богатой на подобные постыдные истории.

Едва успела выйти новая версия MacOS (недели не прошло), как исследователь из Synack Патрик Уордл опубликовал шикарный пост о High Sierra. Оказывается , что Keychain – защищенный контейнер для учетных данных, PIN-кодов, номеров банковских карт и прочих важных данных – на самом деле уже версии три как ничего не защищает. То есть по факту Keychain это такое место, откуда можно разом украсть вот это вот все.

Товарищ Уордл заявил, что приложение, хоть подписанное, хоть неподписанное, может сливать дамп всего содержимого Keychain в открытом, незашифрованном виде. Строго говоря, приложения вполне официально имеют доступ к Keychain, но только к своим данным – а тут вроде бы ко всем. Важный нюанс: эксплойт работает только с разблокированным Keychain, однако по умолчанию он разблокируется при логине в систему.

Сразу после публикации Патрику насовали комментов в духе «что ж ты такой гад, не в Apple сообщил, а в блоге публикуешь», и что ему просто не хватает внимания окружающих. Но бедняга на самом деле сообщил в контору, и даже эксплойт готовый послал, просто контора от него отмахнулась! Мотивировали знатно – мол, нечего ставить софт из безнадежных источников, а ставьте только из MacAppStore, и читайте предупреждения безопасности от macOS. То есть в принципе это шаблонный ответ на сообщения обо всех локально-эксплуатируемых уязвимостях. Кто ставит левый софт – тот сам виноват. Кстати, программа вознаграждения за уязвимости в продуктах Apple не распространяется на MacOS.

Уордл все же не стал публиковать эксплойт и даже технических деталей об уязвимости не раскрыл. Но, если поверить ему на слово, найденная уязвимость здорово расширяет возможности малвары. Стоит подцепить где-нибудь дельного троянца (а для MacOS их все больше), и все ваши учетные и платежные данные утекают в чужие руки. Нехорошо.

По словам исследователя, он протестировал уязвимость на версиях High Sierra и Sierra, и не видит причин, почему бы ей не быть и на El Capitan. Защититься от этого можно ценой небольшой толики удобства – достаточно установить блокировку Keychain, чтобы при попытке доступа к нему запрашивался пароль. Ну и да, по возможности избегайте установки приложений из левых источников.
 
 
В мобильных приложениях для биржевой торговли нашли десятки уязвимостей
 
Новость . Исследование . Слова «инвестор» и «трейдер» даже звучат как-то богато. На мелочи эти ребята не размениваются, чтобы хоть чего-то добиться на бирже, нужны серьезные деньги. Но обстановка на фондом рынке меняется так быстро, что им необходима возможность заключать сделки в любое время, в любом месте. То есть через мобильник.
 
 
Соответственно, мобильных приложений для трейдинга выпущено очень много. Понятно, что их вендоры должны тщательно выстраивать систему безопасности, даже в ущерб удобству – деньги на кону большие. Но вот на поверку все оказалось не так. Исследователи из IOActive взяли 21 приложение из топа (как для iOS, так и для Android) и нашли там много веселых дыр. Очень много. Вплоть до хранения паролей открытым текстом и передачи данных по HTTP.

И в этот раз исследователи продемонстрировали ответственный подход к раскрытию уязвимостей и обратились к 13 брокерским компаниям, поставляющим эти приложения. Таки что бы вы думали? Ответили только две. Остальным некогда – торговать надо, а тут пристают с уязвимостями. Алехандро Эрнандез из IOActive вот так выразил свою реакцию на произошедшее: «Господа, я кажется, фрустрирован! Я работал аудитором и знаю, как жестко регулируется финансовый сектор. И очень странно, что мы столкнулись с такими проблемами».
 
 
Deloitte уверяет, что кибератака затронула лишь несколько клиентов
 
Новость . «Большая четверка» аудиторов всегда считалась примером оптимальных бизнес-практик и политик. Понятно, что в кибербезопасности трудно подстелить солому везде, где есть вероятность упасть, но и в этой области есть правила, которые не стоит нарушать, если не хочешь подставить своих клиентов. И вот на тебе! Отличился Deloitte, один из столпов бизнес-сообщества.
 
 
По данным Guardian, контору взломали еще осенью 2016 года, а обнаружили это только в марте. Скорее всего, атака шла через учетные данные админа почтового сервера. Никакой двухфакторной аутентификации не было – пароль то ли отбрутфорсили, то ли выманили из админа каким-либо методом социальной инженерии.

Утечка почты Deloitte по своим последствиям может быть катастрофической, ведь компания, проводя аудит, имеет дело с секретнейшими бизнес-данными клиентов. Однако реакция самой Deloitte обескураживает: компания уверяет, что атака никак не повлияла на бизнес клиентов. И вообще, «кибербезопасность в компании обеспечивается на высочайшем уровне». Звучит как плохая шутка, учитывая, что их почту полгода читал неизвестно кто, а они этого и не замечали.
 
 
Древности
 
«ZipEater-1984»

Использует «стелс»-функцию при вызове функций DOS FindFirst и FindNext. Очень опасен – иногда уничтожает файлы, у которых сумма символов расширения имени (т.е., например, у .COM-файлов: ‘C’ + ‘O’ + ‘M’) в ASCII-кодировке равна 100h, D6h, F3h, E2h или DFh. К таким файлам относятся .TXT, .STY, .BAS, .DOC,. ZIP, .EXE и .COM-файлы.

Цитата по книге «Компьютерные вирусы в MS-DOS» Евгения Касперского. 1992 год. Страницa 36.




 
Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.
Alt text

Если вам нравится играть в опасную игру, присоединитесь к нам - мы научим вас правилам!

Подписаться