Информбезопасность: в ожидании чего-то важного

Надо признать, что нынешний сентябрь с точки зрения информационной безопасности прошел достаточно спокойно. Конечно, разнообразных инцидентов хватало, но по-настоящему крупных, значимых, событий не произошло. Судя по всему, и киберзлоумышленники, и специалисты по информационной безопасности готовятся к концу года, к традиционному зимнему всплеску активности IT-криминала.

За кем следит Microsoft?

Корпорацию Microsoft обвиняют в слежке за пользователями Windows Phone 7. Юридическая фирма Tousley Brain Stephens, зарегистрированная в Сиэттле, подала иск против Microsoft в федеральный окружной суд штата Вашингтон. В иске утверждается, что Microsoft намеренно отслеживает передвижения мобильных устройств своих пользователей без их ведома, тем самым нарушая закон.

По мнению экспертов, на которых ссылаются юристы, мобильные устройства, работающие под управлением Windows Phone 7, производят сбор и отправку данных о местоположении пользователей даже в случае, если они отказывается от этой опции, выбрав соответствующий пункт в меню интерфейса. Система отправляет на серверы Microsoft полную информацию, среди которой содержатся точные координаты по широте и долготе, уникальный идентификационный номер пользователя, а также данные о ближайших к нему точках доступа Wi-Fi.

В ходе предварительных этапов судебного процесса представители корпорации отвергли все обвинения. Однако суд не поверил Microsoft и назначил независимую экспертизу. Ее результаты пока неизвестны.

Это не первый случай, когда изготовители программного обеспечения для мобильных устройств обвиняются в слежке за пользователями. Ранее в схожих нарушениях обвинялись такие крупные игроки на мобильном рынке, как Apple и Google.

Тенденции: США создали суперзащищенную ОС

США обзавелись собственной национальной операционной системой. Она не оставляет никаких следов от работы пользователя, уничтожает вирусы перезагрузкой и может быть запущена почти на любом ПК с процессором Intel. В основу этой национальной ОС легло ядро Linux. Система под названием Lightweight Portable Security (LPS) была разработана в научно-исследовательском центре ВВС при Министерстве обороны США и с самого начала задумана так, чтобы пользователь не оставлял никаких следов от своей работы.

Система использует известный в мире Linux принцип LiveCD: она целиком размещается на лазерном диске или USB-накопителе, загружается полностью с внешнего носителя, ничего не устанавливает на жесткий диск ПК, не требует доступа администратора. При этом работа, как заявляют разработчики, возможна почти на любой вычислительной системе с процессорами Intel x86, включая Mac.

LPS выпускается в трех редакциях: LPS-Remote Access, LPS-Public и LPS-Public Deluxe. Первая предназначена для защищенного удаленного доступа к частной сети организации, вторая – для выполнения базовых задач и подходит для рядовых пользователей.

LPS-Public позволяет организовывать защищенные сети между компьютерами и просматривать веб-страницы. Редакция включает веб-браузер, приложение для просмотра PDF-файлов, текстовый редактор, файловый браузер, SSH-клиент, приложение для доступа к удаленному рабочему столу и мастер Encryption Wizard для шифрования файлов. В системе используется браузер Firefox с поддержкой Java, Flash и интегрированным софтом для работы с идентификационными картами CAC и PIV, с помощью которых госслужащие могут получать доступ к правительственным ресурсам.

LPS отличается от обычных ОС отсутствием периодических обновлений. Чтобы получить версию системы со всеми обновлениями, достаточно пройти на официальный сайт и скачать ISO-образ, ежеквартальное обновление. Поэтому если пользователь желает работать с самой последней версией системы, ему достаточно просто скачать последний образ.

Редакция LPS-Public Deluxe содержит те же компоненты, что и LPS-Public, а также OpenOffice и Adobe Reader. Обе редакции (помимо LPS-Remote Access) бесплатно доступны для загрузки на официальном сайте.

В ОС используется GUI на основе проекта IceWM, напоминающий интерфейс Windows XP. Минимальные требования к ПК включают наличие USB или CD-ROM, 512 Мб оперативной памяти для запуска LPS-Public и 1 Гб для запуска LPS-Public Deluxe, картридер для чтения CAC- и PIV-карт (при необходимости) и поддержку Ethernet или Wi-Fi для выхода в Сеть.

Этот проект стал первым в своем роде в США, но в ряде других стран национальные ОС уже существуют. Например, в Китае – Red Flag Linux, в Турции – Padrus, а на Филиппинах – Bayahnian. Разработкой национальной ОС на свободном ядре также озабочено правительство России.

Атаки: через MySQL.com распространялись вирусы

Сайт бесплатной СУБД MySQL был взломан и заражал компьютеры пользователей вирусами. Сообщение об этом появилось в блоге компании Armorize Technologies, предоставляющей решения по защите веб-приложений от взлома.

Как сообщается в блоге, пользователю достаточно было зайти на главную страницу сайта, чтобы вредоносный код начал поиск лазеек для внедрения вируса на ПК жертвы. Источником таких лазеек могут выступать как сам браузер, так и различные надстройки к нему, например Flash- или PDF- плагины. Таким образом, пользователю не требовалось ничего нажимать, вирус скачивался без его ведома. Что делает вирус в дальнейшем, не уточняется, однако известно, что он поражает только компьютеры, работающие под ОС Windows.

В блоге компании Trend Micro, занимающейся информбезопасностью, сообщается, что на одном из российских форумов появилось объявление человека, возможно, связанного со взломом сайта. В нем автор, скрывающийся под псевдонимом «sourcec0de», продает права администратора на серверах MySQL.com и его поддоменов за $3 тыс. Правда, неизвестно, насколько его предложение является обоснованным.

Согласно отчету с сайта virustotal.com, выявленный вирус определялся только четырьмя антивирусными средствами из проверенных 44-х. На момент написания этой новости вредонос отслеживался уже 14-ю антивирусами. Уязвимость на сайте вскоре была закрыта, но число заражений неизвестно.

Кибермошенничество: беспрецедентный мобильный хакинг

Следователи московской милиции объявили в федеральный розыск лидера хакерской группировки, снявшей несколько миллионов рублей с мобильных телефонов россиян. Об этом сообщили в пресс-службе столичного управления МВД России.

«По версии следствия, Леонид Сидоров 1980 года рождения является организатором организованного преступного сообщества…Сейчас он объявлен в федеральный розыск», – сказал журналистам следователь по особо важным делам Александр Попов.

По его словам, Сидоров в 2005 году был осужден на четыре года за совершение крупного мошенничества. Он отбывал наказание в Смоленской области, а в 2010 году его объявили в розыск после того, как он сумел сбежать из тюрьмы.

«Скрываясь от правоохранительных органов, Сидоров создал группу для осуществления мошенничества с помощью спецоборудования, в которую вошли его бывшие сокурсники по институту, а также профессиональный программист», – утверждает Попов.

Дело было возбуждено в марте 2011 года, а в августе сотрудники управления «К» МВД России задержали троих участников группировки. Двое из них признались, что получали деньги с россиян через мобильную связь сотовых операторов.

«С помощью спецоборудования соучастники осуществляли неправомерный доступ к информации, хранящейся в ЭВМ операторов сотовой связи Московского региона, и ее модификацию, а именно вводили в эти ЭВМ данные о платных услугах в виде телефонных звонков и sms-сообщений, которые в действительности абоненты сотовой связи не осуществляли», – объяснил следователь. – «В результате операторы сотовой связи выплачивали деньги компаниям, которым принадлежали номера, и на которые, по данным ЭВМ, поступали звонки (sms-сообщения), а те, в свою очередь, перечисляли полученные суммы фирмам-субарендаторам, фактически подконтрольным ОПГ».

По данным следствия, хакеры установили спецоборудование в микроавтобус «Соболь», раскрашенный рекламными надписями о ремонте на дому. «Эта машина разъезжала по Москве и области… Мобильные телефоны абонентов сотовой связи при появлении «чудо-машины» настраивались на спецоборудование, которое в автоматическом режиме их полностью контролировало и ими управляло», – поясняет Попов.

Как пояснил следователь, заранее запрограммированное оборудование отправляло от имени абонентов сети сотовой связи sms-сообщения или инициировала звонки на конкретные номера, предварительно арендованные мошенниками на подставные фирмы.

Инструментарий: как перехватывать сессии PayPal и других сайтов

Двое независимых специалистов по IТ-безопасности презентовали новый хакерский инструмент, позволяющий дешифровать веб-запросы сайтам при помощи протокола Transport Layer Security 1.0 и SSL 3.0.

Разработка, как уверяют ее создатели, позволяет человеку или компьютерной программе взламывать сессии с передаваемой на разные сайты финансовой и персональной информацией. Джулиано Риццо и Таи Дуон представили их решение Browser Exploit Against SSL/TLS (BEAST) на конференции Ekoparty в Буэнос-Айресе.

Инструмент базируется на адаптивной методике, применяющей известный подход man-in-the-middle. BEAST размещает сегменты обычного текста, отправляемого целевым браузером в зашифрованный запрос, чтобы определить публичный ключ шифрования. Код может быть вставлен в браузер через специальный код на JavaScript, связанный со злонамеренной рекламой, распространяемой через баннерообменную сеть или через iFrame.

Используя известные текстовые блоки, BEAST может использовать собранную информацию для дешифровки целевых запросов, защищенных с помощью алгоритма AES, в частности, для получения зашифрованных файлов cookie, и затем взламывать безопасные сессии. Впрочем, дешифровка происходит достаточно медленно. Нынешняя версия BEAST не может ломать cookie длиной более 1000 символов, и то затрачивая на это примерно полчаса. По словам разработчиков, при помощи их системы можно взломать сессию с платежной системой PayPal и другими сервисами, использующими стандарт TLS 1.0. Также разработка позволяет дешифровать HTTPS-запросы, используя вбрасывания из произвольных текстовых блоков.

Хакинг: 700 тыс. сайтов взломаны одной атакой

700.000 сайтов, подключенных к сети InMotion Hosting, атакованы TiGER-M@TE. Это был не просто взлом сервера, был атакован весь центр хранения и обработки данных. Хакер скопировал свой index.php во многие каталоги (public_html, wp-admin), удалил каталоги с картинками и добавил файлы index.php куда не следовало.

Он заявил: «Я атаковал 700.000 сайтов за один сеанс, это может стать новым мировым рекордом. После того, как я залил 200.000 зеркал на zone-h, он упал, поэтому я не мог засабмитить все оставшиеся сайты. Я опубликовал список всех доменов в файле. Это был не просто взлом сервера, был атакован весь центр хранения и обработки данных».

TiGER-M@TE – это тот самый хакер, который задефейсил сайт Google Bangladesh. TiGER-M@TE заявил, что занимается хакингом с 2007 года, работает в одиночку и использует только закрытые эксплойты и атаки нулевого дня.

Скандалы: во сколько обходится скрытая ошибка

Комиссия по ценным бумагам и биржевым операциям США (SEC) обязала разработчика ПО выплатить штраф за сокрытие ошибки в коде, приведшей к потерям у клиентов порядка $217 млн.

Некий Барр Розенберг из Калифорнии, 68 лет, занимался разработкой софта, предназначенного для оценки и принятия инвестиционных решений. В апреле 2007 года его компания Barr Rosenberg Research Center представила новую версию этого ПО, в которую, как выяснилось позднее, вкралась серьезная ошибка. Один из ключевых компонентов по оценке рисков получал данные из других модулей как в процентах, так и в абсолютных единицах, причем не переводил последние в проценты, что, естественно, отражалось на конечных расчетах.

Обнаружена эта ошибка была только в июне 2009-го одним из сотрудников компании. Занимаясь разработкой новой версии этой программы, он обратил внимание на различные результаты, которые демонстрировала новая разработка и текущая версия. В том же месяце программист поделился своей неприятной находкой с руководящим составом компании.

Розенберг, вместо того чтобы публично признать наличие ошибки и в кратчайшие сроки внести необходимые изменения в код, приказал сохранять молчание посвященным в проблему сотрудникам. В результате изменения в клиентских копиях программ были произведены только в сентябре-ноябре того же года. И только в ноябре Розенберг проинформировал об инциденте гендиректора родительской компании AXA Rosenberg Group (сам он занимал там пост председателя совета директоров).

Клиенты же узнали о существовании ошибки только в апреле 2010-го, вскоре после того как SEC начала проводить расследование в этой связи. Расследование SEC, помимо прочего, показало, что инцидент задел более 600 клиентов Barr Rosenberg Research Center и привел к потерям порядка $217 млн.

Комиссия сочла, что на устранение ошибки ушло слишком много времени (то есть потери могли быть меньше). Также Розенберг не предал своевременно гласности информацию об ошибке – тоже административное нарушение. На Розенберга был наложен штраф в $2,5 млн. Также его отлучили от индустрии статистического ранжирования и инвестиционного бизнеса.

Угрозы: Trojan OSX/flashback.A

Компания Intego сообщила об обнаружении нового троянского ПО, рассчитанного на работу в среде Mac OS X. Как и обнаруженный компанией F-Secure пару месяцев назад Mac-троянец, новый вредоносный код также маскируется под инсталлятор Flash Player, что позволяет ввести пользователей в заблуждение.

Однако в отличие от ранее обнаруженного троянца, изменявшего один файл в системном разделе, новый код представляет собой более сложное решение, которое вначале деактивирует системы сетевой безопасности Mac OS X , а также инсталлирует библиотеку dyld, запускающую проект и размещающую код внутри приложения, с которым пользователь работает. Новый троянец также пытается передать персональную информацию пользователя и данные о его ПК на удаленные серверы.

Intego назвала новый код Trojan OSX/flashback.A. Уже известно, что он компрометирует систему, в которую попадает, подделывает изображение инсталлятора Flash Player, использует иконки и логотипы Flash.

В блоге Intego говорится, что пока распространение нового троянца крайне ограничено. Также специалисты говорят, что троянец не способен распространяться, так что в новую систему он может попасть только в том случае, если пользователь вручную установит его. Дабы свести к минимуму опасность заражения, Intego советует обзавестись надежным антивирусом, отключить автозапуск скачанных из Интернета программ, а также пользоваться здравым смыслом при работе в Сети.

Денис Лавникевич


Компьютерная газета. Статья была опубликована в номере 37 за 2011 год в рубрике безопасность

©1997-2024 Компьютерная газета