Не было на прошлой неделе новостей о инфобезопасности, достойных детального описания в дайджесте. Это не значит, что ничего не происходило — такая ситуация, кажется, и вовсе невозможна. Кого только не взломали. Что же, в качестве компенсации за
Reddit взломали просто. То есть нет, не так. Reddit как довольно специфическое сообщество, и притом весьма популярное, наверняка подвергается абсолютно всем возможным типам кибератак и на самом деле довольно неплохо защищен. Этот вывод можно сделать как из абсолютно честного рассказа о недавней успешной атаке, так и из того факта, что в прошлом таких рассказов, кажется, не было. Атака была сложной, но описать причину успешного взлома легко: обошли двухфакторную аутентификацию.
Reddit выложил подробное описание инцидента (капитан!)
Детали этого перехвата не раскрываются, хотя в заметке на сайте Wired
Таким образом, больше всего пострадали ранние пользователи Reddit. Помимо этого, был получен доступ к логам почтового сервера. Из них можно узнать, кто получал почтовую рассылку сайта с 3 по 17 июня 2018 года. Проблема в том, что по этим логам можно ассоциировать имя пользователя на Reddit с почтовым адресом: такая информация может быть использована впоследствии — например, для фишинговых атак. Что было сделано? Предприняты меры по недопущению повторной атаки, включая переход на двухфакторную аутентификацию с использованием физических токенов. Именно благодаря авторизации с использованием токенов с начала 2017 года в Google
200 тысяч роутеров MikroTik заражены майнером
→
В апреле этого года в роутерах MikroTik была
На прошлой неделе сайт BleepingComputer собрал информацию из трех разных источников и насчитал до двухсот тысяч роутеров Mikrotik, взломанных с помощью апрельской уязвимости и встраивающих код майнера криптовалют Coinhive в веб-страницы. То есть все пользователи, подключенные к взломанному роутеру, начинают сдавать свои вычислительные мощности в аренду для майнинга. Атака работает в обе стороны: если «за роутером» хостится веб-сайт, его посетители тоже получают в коде сайта вредную нагрузку. В ряде случаев код майнера вставлялся не во все веб-страницы, а только в те, что генерируются самим роутером, например сообщения об ошибке доступа к сайту. IoT-поисковик Shodan индексирует 1,7 миллиона роутеров Mikrotik, видимых из сети. Опираясь на эту цифру, можно отметить как достаточно серьезную долю уже зараженных устройств, так и возможности для расширения криптовалютного ботнета.
Сага о невзламываемом кошельке для криптовалют
Кошелек Bitfi рекламируется как абсолютно безопасное, но при этом еще и удобное устройство для хранения и работы с ключами доступа к криптовалюте. А сам Джон Макафи активно продвигает Bitfi как абсолютно невзламываемый девайс, отсюда и награда. Заявление Макафи вызвало, скажем так, повышенную фрустрацию у сообщества экспертов по безопасности — по двум причинам. Во-первых, говорить, что что-то невозможно взломать — моветон. Во-вторых, предложенные производителем кошельков Bitfi условия далеки от стандартной программы Bug Bounty. Участникам
Но реальная безопасность тут не при чем! Можно зашифровать данные, положить их на флешку, и без ключа их никто не расшифрует. Суть в том, насколько надежно устройство работает на практике, когда происходит обращение к секретным данным. Можно ли перехватить секрет во время передачи? Можно ли украсть пин-код для доступа к кошельку? По идее, надо отвечать на вопрос, как устройство будет работать в реальных условиях, а не как хорошо на нем будут лежать зашифрованные криптоденьги.
Не то чтобы Джона Макафи и компанию Bitfi в целом это остановило. Через пару дней после анонса награда за взлом кошелька была повышена до 250 тысяч долларов при сохранении условий. На претензии исследователей из компании PenTestPartners твиттер Bitfi обвинил их в работе на конкурентов. В ответ на это PenTestPartners
То у нас устройство, на котором нет софта и памяти. То права рута не позволяют взломать кошелек. Надо отдать должное: в определенный момент твиттер Bitfi извинился за поведение некоего своего сотрудника, ответственного за твиты, перестал отвечать всем по шаблону «сам дурак», но лучше от этого не стало. На момент публикации история продолжает развиваться: исследователи разбирают криптокошелек и находят новые проблемы, Bitfi и McAfee катаются на вагонетке хайпа по кругу.
Все это, конечно, невероятно смешно, если бы не было немного грустно от понижения качества дискуссии о безопасности до уровня сельской дискотеки. Нормы защищенности устройств, от криптокошельков до
Disclaimer: Мнения, изложенные в этом дайджесте, могут не всегда совпадать с официальной позицией «Лаборатории Касперского». Дорогая редакция вообще рекомендует относиться к любым мнениям со здоровым скептицизмом.