Информбезопасность: утечки всего, что только можно

Еще совсем недавно специалисты по информбезопасности буквально стонали от вала хакерских атак. Но совершенно неожиданно «ветер переменился», и теперь наибольшее число сообщений об инцидентах связано с утечками данных. Интересно, что еще нас ждет в августе? А ведь еще только середина года…

Facebook не уберег приватное видео


В социальной сети Facebook целую неделю была открыта уязвимость, которая позволяла пользователям свободно просматривать все видеоролики своих друзей, даже если они были скрыты настройками приватности. Из-за уязвимости все пользователи соцсети могли свободно просматривать названия, описания и эскизы видео своих друзей, даже если те установили некие ограничения на доступ к данному контенту.

Видеоролики сами по себе не были доступны для просмотра, однако даже названия, описания и эскизы видео зачастую включали в себя довольно много конфиденциальных сведений, сообщается в отчете издания TechCrunch. По словам представителей Facebook, эта уязвимость была доступна в течение недели, и сейчас уже исправлена.

Как отмечают эксперты, это далеко не первый случай раскрытия социальной сетью больших объемов конфиденциальной информации своих пользователей. Например, в конце прошлого года выяснилось, что Facebook передает идентификаторы (уникальные номера пользователей в соцсети) более чем двум десяткам сторонних организаций. Делается это даже в том случае, если пользователь установил максимальный уровень защиты. Информация передается приложениями Facebook. Причем некоторые их них сообщают не только ID пользователя, но и ID его друзей.

Еще один случай нарушения конфиденциальности был зафиксирован в феврале 2010-го, когда сервис по ошибке отправлял личные сообщения пользователей не тем людям. В 2008 году на Facebook была обнаружена опасная уязвимость межсайтового скриптинга, подвергающая пользователей социальной сети опасности хакерской атаки.

Впрочем, сам основатель крупнейшей в мире социальной сети, видимо, не считает эти проблемы достаточно серьезными. По мнению Марка Цукерберга, интернет-конфиденциальность уходит в прошлое. «Когда я впервые запустил Facebook, люди спрашивали меня, зачем кто-то вообще захочет хранить свои данные в Интернете. Но со временем социальные нормы изменились. Люди привыкли не только к обмену информацией, но также стали делать это более открыто и с большим количеством других пользователей», – отметил Цукерберг во время выступления на одной из конференций. Таким образом, по его мнению, изменение политики конфиденциальности Facebook, согласно которой ключевые данные пользователей в 2010 г. стали открыты всем по умолчанию, стало «шагом в соответствии с нынешними социальными нормами».

Россияне научились бороться с торрентами

Российский разработчик антипиратского программного обеспечения Pirate Pay создал систему, блокирующую скачивание контента в торрентах. Механизм заполняет файлообменные сети фальшивыми торрент-клиентами, парализуя их работу. Pirate Pay уже подписал соглашение с Ассоциацией теле- и кинопродюсеров России. С сентября компания планирует запустить систему, защищающую легальный контент в торрент-сетях.

«Мы предоставляем набор технических средств, который в будущем позволит сделать нечто вроде билинга для торрент-сетей и предложить правообладателям возможность защитить их контент в сетях, поставив блок на его распространение, или продавать фильм в торрент-сетях, – рассказывает основатель стартапа Андрей Клименко.

Файлообменные сети на данный момент являются максимально открытыми. Каждый участник сети – пир (peer) – равноправен, все обмениваются друг с другом фрагментами фильма, музыкального файла или программы. «Мы создаем рой таких пиров, которые, контача с другими, реальными пирами посылают им специальные пакеты служебной информации. Это делается для достижения следующей цели: сделать так, чтобы реальный пир отсоединился от как можно большего числа реальных пиров и присоединился к как можно большему числу наших пиров, которые не будут отдавать контент».

Фальшивые участники сети как бы будут объяснять другим ее участникам, что у них содержатся нужные фрагменты фильмов. А когда скачивающие будут приходить за этими кусочками, они ничего не получат. При этом Pirate Pay будет делать так, чтобы пользователи торрент-сети не получали информацию об IP-адресах других пользователей и не смогли бы с ними соединяться для обмена контентом.

Для клиента работа с системой будет выглядеть просто, обещают в компании. «Это две кнопки – красная и зеленая. Красная позволит защитить контент, зеленая – его монетизировать», – поясняет Клименко. Во втором случае правообладатель сможет выбрать, например, из всех копий фильма, которые на данный момент распространяются в сети, те копии, которые он готов продавать, и установить за них цену. Или самому залить в торрент- сеть копию высшего качества. Остальные копии в сети перестанут раздаваться. Для пользователя внешне почти ничего не изменится. Когда он захочет скачать нужный защищенный фильм, он увидит кнопочку «оплатить». Будет множество вариантов проплаты скачивания. Если он не заплатит, он не сможет скачать фильм. В компании не исключают возможность оплаты просмотром рекламных видеороликов, а также переходами по ссылкам.

Для работы системы не нужно согласие владельцев торрент-сайтов. Механизм использует возможности самого быстрого и не зависящего от трекеров протокола DHT (Distributed Hash Table), «распределенного трекера». Он автоматически доступен подавляющему большинству пользователей и помогает распространению файлов не только на открытых трекерах, типа Pirate Bay, но и на закрытых ресурсах, включая RuTracker. Pirate Pay взаимодействует со всеми пирами, подключенными к DHT.

Принцип работы Pirate Pay заключается в противостоянии технологий, отмечает генеральный директор Group-IB Илья Сачков. «Практика показывает, что такая "гонка вооружений" не приводит к положительным результатам. Злоумышленники всегда в технологическом отношении оказываются на шаг впереди», – добавляет он. По его мнению, идентификация и преследование в рамках правового поля таких преступников будет являться более эффективной мерой, чем борьба с контентом в торрент-сетях. «Только неотвратимость наказания и страх перед законом является единственным способом противодействия компьютерным преступникам всех мастей, в том числе и пиратам», – заключает он.

Pirate Pay ведет переговоры с инвесторами, желающими сотрудничать со стартапом, говорит Клименко, не исключая «развития собственными силами». «С осени мы планируем сами начать продажи, для этого постоянно ведем договоренности с компаниями, владеющими правами на контент. В частности, уже подписано предварительное соглашение с Ассоциацией теле- и кинопродюсеров, объединяющих множество наших потенциальных клиентов. Ведутся переговоры с несколькими западными студиями, которые хотят попробовать продукт», – рассказывает Клименко.

Хакерская атака на аккумулятор

Когда мы думаем о безопасности данных и возможных уязвимых местах наших компьютерных систем, аккумулятор ноутбука не ассоциируется с хакерскими атаками, пишет издание Slashgear. Тем не менее, как обнаружил инженер службы безопасности Чарли Миллер, аккумуляторы современных ноутбуков могут быть точно так же взломаны, как и любые другие узлы, и подобного рода атаки обнаружить гораздо труднее – что стало ясно после подробного рассмотрения нескольких аккумуляторов, использующихся в моделях MacBook, MacBook Pro и MacBook Air.

Согласно Миллеру, аккумуляторы современных ноутбуков содержат свою собственную программную оболочку и микроконтроллеры для мониторинга уровней заряда, что позволяет операционной системе проверять этот показатель и реагировать соответствующим образом. Даже если ноутбук выключен, литий- ионный аккумулятор «знает», когда необходимо отключить зарядку. Кроме того, аккумулятор также «умеет» определять и регулировать свой уровень нагрева для поддержки необходимого и безопасного значения температуры.

Исследовав ноутбуки Apple, Миллер обнаружил, что все встроенные чипы в аккумуляторах используют одни и те же пароли по умолчанию. Это означает, что хакер, которому стали известны пароли, может найти способ управлять программной оболочкой чипа, и, в свою очередь, управлять аккумулятором для причинения вреда системе.

Существуют много способов атаки, включая запрет перезарядки аккумулятора, запрет на регулирование теплообмена, что может привести к физическому повреждению, а также внедрение вредоносного ПО, заражающего компьютер. Последний вариант сценария может привести к тому, что система будет повторно инфицирована снова и снова, даже после ее очистки и переустановки всего ПО, если сам аккумулятор не будет заменен.

Миллер отправил результаты своих исследований в Apple и Texas Instruments и, как ожидается, осветит подобную уязвимость на августовской конференции Black Hat, посвященной вопросам безопасности. Он также предложил способ решения проблемы, названный им «Caulkgun», посредством которого пароль аккумулятора по умолчанию заменяется рядом произвольных. Тем не менее, подобная замена паролей может создать ряд проблем при обновлении ОС.

Хакеры Anonymous хулиганят в Италии

Хакеры из группы Anonymous в Италии взломали серверы местной киберполиции и получили доступ к файлам, раскрывающим данные о деятельности российской газовой монополии «Газпром». Киберпреступники утверждают, что начнут публиковать документы, проливающие свет на деловые и политические переговоры Италии с Европой и США, в самое ближайшее время.

Как пишут итальянские СМИ, украденная хакерами информация может также касаться компаний «Сибнефть», «Атомстройэкспорт» и «Диаскан», а также американского нефтяного гиганта Exxon Mobil.

Эксперты считают, что атака Anonymous стала местью за аресты итальянских членов группы. В июне члены группы Anonymous были арестованы в Испании. Их обвиняли в краже личных данных пользователей игровых приставок Sony PlayStation. Протестуя против политики популярных во всем мире социальных ресурсов, включая Facebook, Twitter и YouTube, которые закрыли хакерам доступ к своим сайтам, Anonymous представили свою собственную социальную сеть в середине июля.

Найдена критическая уязвимость в ядре SAP

Питерская компания Digital Security (специализируется на аудите безопасности и разрабатывает сканер безопасности SAP) обнаружила критическую уязвимость в ядре ERP немецкого вендора. Она позволяет без авторизации двумя запросами создать в системе нового пользователя и дать ему права администратора. Так как для суперпользователя в системе нет запретов, то после этого становится доступной информация всех модулей ERP, включая финансовые.

Как пояснил технический директор Digital Security Александр Поляков, хотя ошибка найдена в механизме авторизации и она есть в любой инсталляции этой ERP, но для реализации атаки должен быть установлен Java-движок, поставляемый с целым рядом модулей. Среди них SAP Netweaver Portal для создания общего портала заказчика, а также модули для работы с ERP с мобильных устройств и интеграции с системами других вендоров (XI). Все они работают через браузер, запросы для добавления пользователя и изменения его прав вводятся в адресную строку.

Если злоумышленник находится вне локальной сети компании, то для работы по такой схеме ему потребуется установленный в компании и открытый в Сеть общего пользования SAP Netweaver Portal. При стандартной установке такой модуль можно найти обычными поисковиками. Например, через запрос в Google «inurl:/irj/portal». Так находятся системы испанского производителя военных кораблей Portal Empresarial de Navantia и индийской автомобильной компании Tata Motors.

Сами запросы для создания пользователя и изменения его прав исследователи не называют, так как для уязвимости еще не готов патч. «Мы нашли эту уязвимость 3-4 месяца назад и сразу же сообщили о ней в SAP, – говорит Поляков. – Цикл создания патча у вендора долог, он занимает от нескольких месяцев до 1,5 лет».

Проверялось наличие уязвимости на собственных установках ERP и решении у одного из заказчиков, добавляет он. Для таких проверок на проникновение (penetration testing) в компании была написана программа, которая находит серверы SAP в Сети через запрос в Google и проверяет их на уязвимость. «В результате оказалось, что взломать можно более половины из доступных серверов» – оценивают исследователи.

«Обход механизма аутентификации происходит без атаки по типу “переполнение буфера”, – поясняет Поляков. – В случае ERP она не слишком полезна злоумышленнику. Из-за большого числа версий с ее помощью удается лишь обрушить систему, но не получить права суперпользователя».

AdWords под ударом фишеров

Компания Google опубликовала официальное сообщение о том, что на протяжении нескольких дней клиенты ее рекламной службы были подвержены фишинговым атакам. Пользователи AdWords получают сообщения, в которых говорится: «Сегодня была остановлена ваша рекламная кампания в Google». Сотрудник технической поддержки рекламной службы Bindu предупредила клиентов о том, что злоумышленники часто применяют различные уловки для незаконного получения учетных данных пользователей. «Фишинговые сообщения часто приходят с таких адресов, как adwords-noreply@google.com. Авторы этих сообщений просят пользователей предоставить им информацию об их банковских переводах, выполнить определенные действия по отношению к неодобренной рекламе, отредактировать учетную запись или принять обновленные условия пользовательского соглашения службы AdWords» – говорится в сообщении Bindu.

Также команда технической поддержки AdWords просит пользователей никоим образом не реагировать на подобные сообщения, а лишь уведомлять о них компанию Google. «Защищайте себя: независимо от того, получили вы подобное сообщение, или нет, следуйте указанным советам для предотвращения фишинга», – говорится в заключении обращения к клиентам AdWords.

Для доступа к учетным записям Google AdWords обычно используются те же учетные данные, что и для Gmail, Google Docs и пр. Таким образом, возможно, злоумышленники пытаются получить доступ к почте и конфиденциальным документам пользователей.

Денис Лавникевич


Компьютерная газета. Статья была опубликована в номере 29 за 2011 год в рубрике безопасность

©1997-2024 Компьютерная газета