Архив тегов: cyber criminal

Большая картина.

Весной прошлого года мы обнаружили Duqu2 – очень профессиональную и дорогостоящую кибершпионскую операцию с господдержкой какой-то дружественной страны. И вычислили мы её тогда при тестировании бета-версии Kaspersky Anti Targeted Attack Platform – специального решения против подобных целевых атак.

И вот, ура! — продукт официально зарелизен и готов к употреблению!

Kaspersky Anti Targeted Attack Platform

Но вначале немного лирики о том, как мы дошли до жизни такой и почему потребовалась такая специфическая защита.

Дальше: Раньше не только солнце было ярче и небо синéе…

Берегись автомобиля!

Периодически (примерно раз в несколько лет) в кибермире случается очередная нехорошая неприятность. Что-то совершенно неожиданно ново-зловредное. Для большинства из нас (вас) – это очередной нежелательный сюрприз. Мы с коллегами обычно между собой комментируем это так: «ну вот, дождались…». Мы видим и понимаем основные тенденции «дарк-интернета», представляем стоящие за ними силы и их мотивацию, можем прогнозировать векторы развития ситуации.

Короче, зловредные сюрпризы для меня и наших экспертов — в большинстве своём давно ожидаемые события, которые вот, наконец-то произошли. И тут настаёт тот неловкий момент, когда приходится выступать с речью на тему «Добро пожаловать в новую эпоху». Типа, «мы же вас давно предупреждали»…

Что на этот раз? Автомобильное!

Вчера в WIRED была опубликована статья, начинающаяся словами: «Я вёл машину на скорости 70 м/ч, когда эксплойт овладел системой управления» (70 м/ч ~= 110 км/ч). В сей статье описан успешный эксперимент по удалённому взлому «чересчур умной» машины: секюрити рисёрчеры разобрали электронную систему Uconnect Jeep Cherokee, нашли уязвимость и через Интернет сумели получить контроль над критическими функциями автомобиля. И это не единичный «лабораторный» кейс, а дыра в почти полумиллионе машин с Uconnect. Опппааа…

can2

На самом деле, проблема безопасности «умных» машин не нова. На эту тему я шутил 1-го апреля 2002-го года. Дошутился :) Дурацкая шутка получилась :(

Да, всё логично и понятно. Производители борются за покупателя, а редкий покупатель сейчас ходит без смартфона с интернетами, так что машина (чем дороже, тем быстрее) потихоньку превращается в его придаток. Смартфона и интернета, а не пользователя – если вдруг кто-то неправильно понял ход моей мысли.

В смартфон выносят всё больше функций управления и диагностики автомобиля. Uconnect здесь не одинок – практически у каждого крупного производителям есть свой аналог разной степени продвинутости: Volvo On Call, BMW Connected Drive, Audi MMI, Mercedes-Benz COMAND, GM Onstar, Hyundai Blue Link и многие другие.

На практике оказывается, что в этой гонке вооружений, частенько игнорируются вопросы IT-безопасности.

Почему?

Во-первых, нужно быстрее-быстрее возглавить модное направление («а потом разберёмся»); во-вторых, удалённое управление – это перспективный бизнес (а план продаж горит!); в-третьих, среди автопроизводителей распространено мнение об автономности технологий – вроде как в электронную начинку машины ни у кого ни желания, ни мозгов не хватит залезть. Ну, конечно же, и то и другое регулярно случается.

С лирикой занончили. Теперь про физику явления. А с физической технической точки зрения происходит вот что.

В далёком-лохматом 1986г. компания Bosch разработала стандарт CAN, который регулирует обмен данными между различными устройствами (микроконтроллерами) напрямую, без центрального компьютера. Микроконтроллер центральной панели при нажатии на кнопку «Кондиционер» сообщает микроконтроллеру, ага, кондиционера, что водителя нужно охладить. Нажали на педаль тормоза – снова микроконтроллеры обменялись сигналами и тормозные колодки трутся об металл.

can

Иными словами, если верить достоверным источникам информации, электронная система современного автомобиля – это одноранговая компьютерная сеть, спроектированная ~30 лет назад. Несмотря на то, что с тех пор CAN пережил множество редакций и прокачек, он до сих пор не имеет никаких секюрити функций. Это понятно – какой дополнительной безопасности требовать, например, от COM-порта? CAN – это низкоуровневый протокол, «транспорт» и в его описании прямо сказано, что безопасность должны обеспечивать использующие его девайсы (приложения).

То ли мануалов не читают, то ли слишком увлеклись конкурентной борьбой, но факт налицо: [некоторые] автопроизводители навешивают на CAN всё больше контроллеров, не заботясь об основных правилах безопасности. На одну и ту же шину, не подразумевающую контроля доступа, вешают целиком внутреннюю систему управления всем-всем.

В действительности, как и в «большой» компьютерной сети в автомобилях необходимо разделение доверия к контроллерам. Штуки, которые общаются с внешним миром, будь то установка приложений в медиасистему из онлайн-магазина или слив диагностики производителю должны быть жёстко разделены с системой управления двигателем, безопасности и другими критическими блоками!

Если автомобилем управляет, скажем, Android-приложение, то любой специалист по безопасности с ходу перечислит десяток вариантов, как обойти защиту и перехватить управление. В данном случае автомобиль не сильно отличается от банковского счёта и к нему могут быть применимы схожие технологии взлома, например, с помощью банковских троянцев. Ну, и, конечно, остаётся вероятность взлома через уязвимость, как в случае с Jeep Cherokee выше.

Что вселяет оптимизм?

О проблеме знают и относятся к ней серьёзно. Сразу после публикации статьи в WIRED, в США немедленно организовались законодательные инициативы по стандартизации автомобильных технологий в области кибер-безопасности. Производители тоже по мере сил стремятся решить проблему: недавно американский Auto Alliance анонсировал создание «Центра обмена и анализа данных» (правда, не представляю, как они собираются работать без представителей секюрити-индустрии). Мы сами работаем с несколькими брендами (не скажу какими) — консультируем как сделать лучше.

В общем, есть свет в конце тоннеля. Однако…

… однако, описанная проблема безопасности не ограничивается автомобилестроением. CAN и ему подобные стандарты используются в промышленности, энергетике, транспорте, умных домах, даже в лифте в вашем офисном здании — везде, ВЕЗДЕ!! И везде одна и та же проблема: наращивание функциональности идёт без учёта безопасности! Главное побыстрее, покруче накрутить, привязать к смартфону, подключить к Интернету! А потом оказывается, что и самолётом можно управлять через его развлекательную систему.

com

Что делать?

Выход номер один – пересесть на старые, до-Интернет технологии типа винтовых самолётов с аналогово-механическими системами управления… Шутка, конечное же. Никто «вперёд в прошлое» не собирается, да уже и не сможет. Технологии прошлого тормозные, неудобные, низкоэффективные, да и… менее безопасные! Так что назад пути нет. Только вперёд!

Движение вперёд в эпоху полимеров, биотехнологий и цифр даёт просто сумасшедшие результаты – просто посмотрите вокруг себя и внутрь своих карманов. Всё движется, летает, доставляется, сообщается и обменивается на принципиально других скоростях по сравнению с предыдущими эпохами. Автомобили (да и другие транспортные средства) только часть этого.

Всё это действительно делает жизнь более комфортной и удобной, к тому же «цифра» закрывает многие старые проблемы надёжности и безопасности. Но, увы, одновременно создаёт и новые проблемы. И если вот так сломя голову рваться вперёд-вперёд, без оглядки, тяп-ляп «гнать функционал», то в конце концов мы придём к непредсказуемым и даже фатальным последствиям. Примерно как Цеппелины.

А ведь можно (и нужно!) сразу сделать красиво! Нужны отраслевые стандарты, новая, современная архитектура и ответственное отношение к разработке новых фичей с учётом безопасности.

Короче, очень интересное исследование и очень интересно как дальше будут развиваться дела. Кстати, на Black Hat в августе будет доклад авторов этого хака — надо обязательно послушать!

UPDATE: Наш подход к защите «умных» автомобилей.

PS: считайте меня ретроградом (хотя на самом деле я параноик :), но, какой бы крутой ни была «умная» начинка машины я бы первым делом её отключал… если бы была такая фича. Прямо кнопкой на панели – «ноу сайбер».

PPS: Хотя скоро, такими темпами, автомобили без подключения к «облаку» заводиться откажутся.

PPPS: А облако (и все подключенные к нему машины) быстренько взломают через какую-нибудь крайне важную функцию, типа распознавания лица владельца для автоматической подстройки зеркал и кресла.

PPPPS: а потом будут продавать авто бесплатно, но с привязкой к определённой сети заправок цифровой сети – и пихать попапы прямо на лобовое стекло. А на время рекламы перехватывать управление в автоматический гугл-режим.

PPPPPS: Кто еще чего добавит креативного по автобезопасности и вообще?

 

Шпионская история

«Прибежали в избу дети,
Второпях зовут отца,
«Тятя, тятя, наши сети…»

Итак, наши сети вытащили… нет, не мертвеца, а вполне себе живчика. И не просто «живчика», а мегапродвинутого зловреда. Сложнейшую шпионскую атаку, по уровню превосходящую всё, ранее нам известное. Этакий кибермонстр, помесь ксеноморфа с терминатором, да заодно и с «хищником» — поскольку тварь эта не только агрессивная, всепроникающая, неубиваемая – но заодно еще и практически абсолютно невидимая.

Итак, мы поймали киберзмейгорыныча международного масштаба, причём не где-нибудь, а в довольно неожиданном месте – в нашей собственной корпоративной сети. Вот такой сюрприз!

(с)(с)

Ну, естественно, началось расследование и шло круглые сутки несколько месяцев подряд (быстрее невозможно – уж слишком сложный и профессиональный «живчик» оказался). Но есть и хорошая новость: с нашими продуктами, сервисами, базами данных, клиентскими данными все в порядке, никаких рисков для клиентов нет. Негодяи смогли подсмотреть только за нашими разработками и текущими расследованиями. И я до сих пор не понимаю, зачем им это было надо.

Читать дальше…

Я на конференцию, у неё и переночую!

Давным-давно (аж 10+ лет назад) наша, тогда ещё небольшая российская компания, начала активно принимать транснациональный формат. Оказалось, что ключевые сотрудники живут в разных странах, в разных временных зонах и общаются исключительно по почте или скайпам-телефонам. Вот тогда мы и решили периодически собирать их вместе, поскольку нечастые, но регулярные встречи «лицом-к-лицу» гораздо правильнее и эффективнее. Именно тогда и зародилась наша конференция для экспертов по IT-безопасности Security Analyst Summit (SAS).

cancun-mexico-sas2015-1

cancun-mexico-sas2015-2

Дальше: Никогда такого не было, и вот снова…

Макость.2014 — эволюция яблочных паразитов.

Есть ли вирусы на Маке?

Да! Есть! Но что-то подозрительно давно ничего интересного на эту тему я здесь не рассказывал.

Прошло 2,5 года с момента глобальной эпидемии червя Flashback, заразившего 700 тыс. Маков по всему миру. Мы тогда немного пошумели по этому поводу для «поднятия тонуса» среди маководов – и потом тишина…

Для человека со стороны может показаться, что с тех пор на этом фронте было полнейшее затишье и ни один вредонос не потревожил спокойствие водной глади в яблочной бухте. Но это не совсем так.

Apple vs вирусы

Да, если сравнивать уровень зловредства на разных платформах, то в «лидерах», как обычно, — самая распространённая платформа Microsoft Windows. Со значительным отрывом за ней следует Android. За прошедшие пару-тройку лет компьютерные негодяи всерьёз взялись за зелёного робота и потрошат Android-устройства с экспоненциально нарастающей активностью. В мире Айфонов и Айпадов пока практически абсолютный ноль, за исключением редких шпионских атак, умудряющихся заражать сверхбезопасные гаджеты разными экзотическими способами. В среде Маков тоже пока тишь да благодать… но уже не столь безмятежная. И про это будет рассказ.

Краткое содержание:

  • количество новых мак-зловредов за год исчисляется уже сотнями;
  • за 8 месяцев 2014г. обнаружено 25 семейств мак-зловредов;
  • вероятность подхватить мак-неприятность составляет приблизительно 3%.
Есть ли вирусы на Маках? В 2013 было обнаружено ~1700 вредоносных файлов для Mac OS XTweet

Дальше: Надкусим глубже?…

Ай-да-новости 25.07.2014

Крепче за баранку держись, шофер (с)

Новости о новых взломах, таргетированных атаках и эпидемиях как-то уже публике приелись. Что не приелось? Увы, много чего ещё можно хакнуть и потихоньку хакают. На прошлой неделе пришла депеша из Китая, где на очередном хакерском «фестивале» поломали Теслу (машину :). А чем хороша Тесла? Ну, экологичность, внешний вид, прочие обычные автомобильные ТТХ — это да. А что ещё? Ага! Электронная начинка и обилие возможностей удалённого управления со всяких умных девайсов! Увы, любая функциональность (особенно разработанная без привлечения спецов по IT-безопасности) тащит за собой новые угрозы. И вот, одну такую угрозу нашли ребята из одной китайской компании.

Теслу хакнули?

Суть хака в следующем: злоумышленник может управлять тормозами, сигналом и освещением автомобиля, в том числе находящимся в движении. Вот вам и Watch_Dogs! Правда, никаких деталей как это сделать опубликовано не было. В полном соответствии с принципом «responsible disclosure», сии детали были направлены прямиком в Теслу для изучения и исправления. Ну, что ж, посмотрим-поглядим, вообще «был ли мальчик». Уж сколько раз оказывалось, что взлом или невозможен или возможен при каких-нибудь нечеловеческих условиях. Впрочем, я не удивлюсь, если дыра будет реальной. Мы тут недавно провели любопытное исследование умной начинки BMW: возможностей для хака там предостаточно.

Дальше: проклятие рода Баскервилей…

Что такое хорошо и что такое плохо?

Несколько дней назад Микрософт заявил о масштабном наезде на сервис динамических DNS No-IP, в результате которого было прикрыто 22 домена. По словам ребят из Редмонда было за что – там хостилась всякая неприятная малварь, да и вообще No-IP оказался рассадником киберкриминала и эпицентром таргетированных атак, при этом от сотрудничества категорически отказывался.

Как в любой похожей заварушке стороны обменялись противоречивыми заявлениями формата «дурак сам дурак».

В частности, No-IP заявил, что они белые-пушистые, всегда были рады сотрудничеству в гашении источников кибератак, а сейчас их клиенты, задетые этим наездом страдают и вообще это неправомерный наезд на легальный бизнес, поскольку малвару можно найти где угодно и приостанавливать из-за этого сервис через суд – никак не кошерно.

Как бы то ни было, результат налицо — отвалилось более 4млн сайтов (1,8млн клиентов), как вредоносных, так и чистых. Микрософт пытается отсеять зерна от плевел и вернуть чистым сайтам работоспособность, однако многие пользователи до сих пор жалуются на перебои.

Разбираться кто больше виноват – дело бесперспективное и неблагодарное. Оставлю журналистские расследования журналистам. Вместо этого даю пищу для ума, сухие и веские цифры и факты, чтобы каждый мог сам для себя сделать вывод о правомерности и этичности действий Микрософт.

1)      Отключение 22 доменов No-IP затронуло операции около 25% таргетированных атак, которые мы отслеживаем. Это тысячи шпионских и криминальных операций за последние 3 года. Примерно четверть из них имели хотя бы один управляющий центр (C&C) у этого хостера. Например, такие хакерские группы как Syrian Electronic Army и Gaza Team используют только No-IP, у группы Turla в этом сервисе было 90% хостов.

2)      Мы подтверждаем, что среди всех крупных провайдеров динамических DNS No-IP был наиболее закрытым для сотрудничества. Они игнорировали наши обращения по поводу синкхола ботнетов.

3)      Наш анализ актуальной малвари показывает, что No-IP чаще всего используется кибер-негодяями для центров управления ботнетами. Поиск через агрегатор Virustotal красноречиво подтверждает этот факт – у 4,5млн (sic!) уникальных самплов вредоносов ноги растут именно оттуда.

4)      Но напоследок вот такая табличка из нашей облачной системы KSN о детектах кибератак с десяти крупнейших сервисов динамических DNS.

Название сервиса % вредоносных хостов

Количество срабатываний

антивируса (за неделю)

000webhost.com 89,47% 18163
changeip.com 39,47% 89742
dnsdynamic.org 37,04% 756
sitelutions.com 36,84% 199
no-ip.com 27,50% 29382
dtdns.com 17,65% 14
dyn.com 11,51% 2321
smartdots.com 0,00% 0
oray.com 0,00% 0
dnserver.com 0,00% 0

Вроде «ужос-ужос», но вот вам информация для сравнения:

(i) % вредоносных хостов по зоне .COM составляет 0,03%, а в зоне .RU 0,39%, в No-IP этот показатель составляет 27,5%;

(ii) за неделю вредоносные домены в No-IP нагенерили около 30 тыс. срабатываний, в то время как у одного самого вредоносного домена в зоне .COM этот показатель составил 429тыс (почти в 14 раз больше). А вот домен под номером 10 в зоне .RU нагенерил 146 тыс. срабатываний, т.е. примерно столько же, сколько вся десятка провайдеров динамических DNS вместе взятая.

Итого.

С одной стороны, блокировка популярного сервиса, которым пользуются тысячи (миллионы) обычных людей — сиё есть неправильно. С другой стороны, закрытие рассадника малвары есть дело правильное и богоугодное.

Но тут «адвокатом дьявола» начинает выступать математика, которая свидетельствует:  в количественном отношении, закрытие всех доменов No-IP не более эффективно для противодействия распространению малвары, чем закрытие одного-единственного топового вредоносного домена в одной из популярных зон – .COM, .NET или даже .RU. Проще говоря, даже если прикрыть вообще всех провайдеров динамических DNS, то Интернет от этого сильно чище не станет.

Вот такая вот неоднозначная история, и у меня нет чёткого понимания хорошо это или плохо. «Кроха сын к отцу пришел, и спросила кроха…».

Но «прицепом» вылезает попутная мысль вот о чём.

Как только количество контрафакта/криминала превышает какой-то порог, то «силовики» закрывают сервисы, несмотря на «интернет-свободу» и свободу предпринимательства. Это правило жизни, человеческого социума. Если «воняет», то рано или поздно «чистят».

Список заблокированных сервисов достаточно длинный: Napster, KaZaA, eMule, Pirate’s Bay и т.п. Сейчас No-IP.

Кто следующий?

// Неужели Биткоин? Начало положено.

Ай-да-новости 20.06.2014

Говорит и показывает…

Сводки с фондовых рынков. Для начала немного ликбеза, если кому-то он нужен.

Давным-давно профессия биржевого брокера была не только почётной, но и чрезвычайно тяжелой. Труженики биржевых фронтов, не зная сна и отдыха, от рассвета до заката, в невыносимых условиях финансовых цифр, в поте лица покупали и продавали Очень Ценные Бумаги, пытаясь узреть будущее и попасть в правильные моменты пиков и днов биржевых котировок, зарабатывая себе бессонницы и инфаркты. А иногда и просто выпрыгивая из окон, чтобы разом избавиться от всех несчастий, выпавших на их долю.

Всё это давно в прошлом. На смену ручному неблагодарному труду пришла автоматика. Теперь думать и потеть не надо – бОльшую часть работы выполняют роботы — специальные программы, которые автоматически определяют наиболее оптимальные моменты «купи-продай». Т.е. профессия биржевого брокера свелась к тренировке ботов. Причём важно не только правильно принять решение, но и важна скорость реакции на фондовые скачки. А скорость зависит от качества Интернет-коннекта к электронной бирже. Т.е. чем ближе к бирже находится робот, тем выше у него шанс быть первым с заявкой. И наоборот – роботы на периферии всегда будут аутсайдерами, если не используют алгоритмы, более «продвинутые» чем у конкурентов.

А вот тут-то и возникает возможность «подкрутки», которой воспользовались неизвестные злоумышленники. Путём несложного хака конкурирующих систем они внедрили в них небольшую задержку.

bae

Дальше: шоколад против капусты…

Червяк длиною в 10 лет.

Всё началось вот с этих вот гаджетов (тогда их называли «девайсы»). Тогда они были пределом мечтаний каждого уважаемого хипстера :) И именно на них мы в чисто научных целых спасения мира анализировали первого мобильного зловреда. Он был обнаружен 15 июня 2004 г. в 19:17 по московскому времени, т.е. ровно 10 лез назад от момента публикации этого самого поста.

На этих мобилках разбирался первый мобильный вирус

Это был Cabir, червяк для Symbian, расползавшийся по другим мобилкам через Bluetooth и даже успевший через год после появления, в августе 2005, вызвать локальную эпидемию на чемпионате мира по лёгкой атлетике в Финляндии :) Думаю, не стоит сейчас углубляться и рассказывать как далеко скакнула мобильная вирусология с тех пор. Лучше послушаем из «первых рук» широко известного анонимного вирусного эксперта А.Г. захватывающую историю как мы его задетектили, почему у нас в офисе появилась экранированная комната, кто стоял за Cabir’ом и вообще почему этого червя так назвали.

Дальше: загадочный файл, не предвещавший ничего хорошего…

Ай-да-новости 30.05.2014

Как было обещано, продолжаю традицию еженедельных ой-ай-новостей.

Сегодня — о безопасности критической инфраструктуры. Вернее – о проблемах и опасностях, её подстерегающих. Атаки на промышленные системы, ядерные объекты и прочие АСУ ТП.

На самом деле это не совсем новости прошедшей недели – к счастью, не так уж часто по этой теме что-то всплывает на поверхность. Как мне думается, в основном их скрывают (что немудрено) или просто «не в курсе» (бабахнет в будущем по сигналу красной кнопки). Так что ниже, скорее, подборка любопытных фактов, чтобы показать нынешнюю ситуацию и тренды и приготовиться адекватно воспринимать последствия угроз.

А удивляться в критической инфраструктуре есть чему.

Главное кредо инженеров по АСУ – «работает — не трогай!». Дырка в контроллере, через которую хакер может получить управление системой? Подключение к Интернету? Отсутствие проверки стойкости паролей? Да, пофиг — система-то работает! А если поставить патч или там какие другие манипуляции произвести, то система может и перестать работать, и вот тогда будет мучительно больно. Да, критическая инфраструктура частенько всё ещё мыслит категориями релюшек.

В сентябре прошлого года мы сделали специальный honeypot, который «торчал» в Интернет и прикидывался промышленной системой. Так вот- за месяц его успешно поломали 422 раза, при этом злодеи 7 раз добрались прямо до PLC-контроллера, а 1 раз даже удаленно перепрограммировали его.

Ну, то есть вы понимаете, да? Непатченная АСУ с подключением к Сети – это практически 100% гарантия её взлома в первый же день. А уж что потом негодяи будут делать с объектом – ойййй…Сценарий для Голливуда Мосфильма. Да и объекты бывают разные, например, вот такие:

Ядрёна малвара

Атомный реактор Мондзю, ЯпонияИсточник

Незабываемо встретили Новый год в Японии. Один из компьютеров центра управления атомным реактором «Мондзю» оказался заражён неким зловредом, проникшим туда в процессе обновления бесплатного софта.

Дальше: мы ходим по краю, но выхода не может не быть…