Дайджест інформаційної безпеки: травень 2014

Май 2014 видався надзвичайно бурхливим і мінливим з точки зору інформаційної безпеки. Будучи затьмарений наслідками Heartbleed і «офіційної кончиною» Windows XP в квітні, цей місяць приніс і багато власних неприємностей.

підточені стовпи

Ймовірно, найбільш серйозний інцидент був розкритий в кінці травня компанією eBay, Inc., в якій визнали злом своєї бази даних, що трапився за два місяці до оголошення про інцидент і виявлений за тиждень до оприлюднення факту.

eBay наполягала на тому, що фінансові дані не були скомпрометовані. Проте, зловмисники забрали персональні дані. Ситуація була описана детально в нашому блозі тут .

Важливо відзначити, що це розкриття співпало з іншим оголошенням від належного eBay сервісу PayPal (і кілька затьмарив перше). В PayPal повідомили , Що вони, нарешті, заклали діру в своєму порталі Manager. Виправлений баг дозволяв зловмиснику з легкістю перехопити адмінських аккаунт, змінити пароль і красти особисті дані, не кажучи вже про заощадження.

Manager - це функція сервісу, що дає користувачам можливість управляти своїм рахунком Payflow, так званим входом для торговців, які використовують його для прийому платежів клієнтів. Детальний опис цієї потенційно дуже небезпечної уразливості можна знайти тут .

eBay і PayPal є стовпами електронної комерції в світі, так що атаки на них викликають особливу тривогу.

Як eBay, так і PayPal (особливо PayPal) є в значній мірі стовпами електронної комерції в світі. Навіть якщо хакери не змогли дістати фінансові дані, атаки на eBay і PayPal будь-якого ступеня успішності завжди викликають тривогу. Якщо їх захист вразлива, то наскільки ж захищені інші сервіси і оператори електронної комерції?

Свято багів Microsoft

Microsoft як і раніше критикують після припинення підтримки Windows XP в квітні.

У кіберзлочинців не зникло багато часу на те, щоб знайти нову уразливість нульового дня в Internet Explorer і скористатися їй. Діра виявилася у всіх версіях браузера, починаючи з IE 6, і на всіх версіях Windows, включаючи XP. Після недовгих роздумів Microsoft ухвалила непросте рішення випустити патч і для решти користувачів Windows XP теж «як виняток». Даний крок був зустрінутий, скажімо так, неоднозначно . Деякі розглядають цей випадок як фактичне небажання окремих людей та організацій розлучитися з античної і небезпечною (хоч і настільки улюбленої) операційною системою, якою до цих пір користуються мільйони людей у ​​всьому світі. Було зареєстровано декілька атак із застосуванням нових експлойтів, спрямованих користувачів Windows XP було зареєстровано. Можливо, ці факти і вплинули на рішення Microsoft зробити «виключення».

З урахуванням домінуючого положення програмного забезпечення компанії Microsoft її проблеми безпеки зачіпають багатьох людей.

Через тиждень Microsoft випустила цілий ряд патчів, які зачіпають, в цілому, 13 питань безпеки в Internet Explorer і Sharepoint Server, а також Windows, MSOffice і .NET Framework. На даний момент це найбільший пакет виправлень в 2014 році, вирішальних деякі дуже серйозні проблеми . Та й як їм бути несерйозними, якщо врахувати глобальне домінуюче становище Microsoft Windows, Office і повсюдність .NET?

На жаль, не минуло й двох тижнів, як Microsoft випробувала новий удар у зв'язку з вразливістю нульового дня в IE8, виявленої завдяки Zero Day Initiative компанії HP . Цей баг дозволяє зловмисникові виконати довільний код на вразливих машинах за допомогою Попутні завантаження або шкідливих вкладень електронної пошти. ZDI повідомила в Microsoftоб помилку досить давно: відповідно до власної політикою вони розкривають подробиці про уразливість через 180 днів, якщо вендор не випустить патч. А вендор не випустив.

Чомусь Microsoft продовжує відмовчуватися навіть після оприлюднення інформації. Компанія визнала проблему, заявивши, що деякі виправлення вносити складніше звичайного, і що проблему в даний час вирішують, але ніяких деталей про те, як скоро помилку виправлять, що не озвучила. Це призвело до очікуваного розносу корпорації в інтернеті. Уразливість залишається без патча вже занадто довго.

Bitly під пресом

Сервіс коротких посилань Bitly оголосив про впровадження двофакторної аутентифікації після інциденту з витоком призначених для користувача даних.

Злом, вперше виявлений в середині травня , Вилився в витік адрес електронної пошти користувачів, їх зашифрованих (солоних і хешірованних) паролів, ключів API і жетонів OAuth.

Сервіс анулював вкрадені облікові дані незабаром після виявлення факту злому, в четвер. Це означає, що, якщо користувачі Facebook або Twitter застосовували їх для обміну скороченими URL, то доведеться міняти адреси в наступний раз, коли клієнти сервісу залягання, якщо вони хочуть використовувати їх в публікації.

Bitly - хороший і популярний інструмент економії на довжині посилань, особливо актуальний для Twitter з його лімітом в 140 символів межі. За деякими даними, Bitly вкорочує понад мільярд посилань на місяць. Дана послуга безкоштовна для користувачів, тому і відсутній ризик прямих фінансових втрат. Проте, ідентифіковані персональні дані мають високий попит у кіберзлочинців, що замишляють фішингові кампанії, так що цей інцидент ні в якому разі не «нешкідливий».

яблуко разора

Ряд користувачів iPhone, iPad і Mac, головним чином, в Австралії виявили, що їх пристрої були «взяті в заручники» в кінці травня кимось під псевдонімом OlegPliss, в якому вимагали гроші за код розблокування. На перший погляд це смішно: пристрої на базі iOS і програми-вимагачі, міцно асоціюються з ПК і Android?

Насправді, по-видимому, не було ніякого зараження пристроїв програмами-вимагачами. Хтось зловжив функцією FindMyPhone, використовуючи вкрадені облікові дані користувачів. Неясно, звідки вони витекли. Швидше за все, джерелом послужили зламані або полеглі жертвою соціальної інженерії акаунти iCloud. Apple швидко визнала проблему з віддаленими блокуваннями, заперечуючи, проте, будь-який зв'язок з iCloud:

«Apple дуже серйозно ставиться до питань безпеки, і сервіс i Cloud ні скомпрометований в зв'язку з цим інцидентом. Постраждалим користувачам рекомендується змінити свої паролі Apple ID якомога швидше і уникати використання одних і тих же логінів і паролів для декількох сервісів. Всім, кому потрібна додаткова допомога, пропонуємо зв'язатися з AppleCare або відвідати місцевий магазин Apple Store. »( ZDNet ).

Експерт «Лабораторії Касперського» Крістіан Функ заявив, що злочинці вже протягом двох років проводять фішингові атаки на Apple ID. В минулому році Securelist опублікував дослідження , В якому інший фахівець «Лабораторії Касперського» передбачав можливість здійснення кампаній з вимагання коштів у користувачів пристроїв на базі iOS і Mac за допомогою крадених даних акаунтів iCloud.

Зростання кількості атак на пристрої IOS - явище неприємне, але цілком очікуване. Вони популярні досить, для того щоб привернути увагу злочинців, і в той же час iOS досі вважається захищеною від шкідливих програм. iOS справді безпечний в плані загроз для звичайних ПК і планшетів / телефонів. Але не повністю застрахований. Описаний вище інцидент це підтверджує.

Один на Spotify

Spotify повідомив про злом системи безпеки і попросив користувачів свого додатка для Android поміняти паролі. Технічний директор SpotifyОскар Сталь написав на офіційному сайті , Що вони вивчають факт несанкціонованого доступу до своїх систем і внутрішніми даними компанії. Сталь також зазначив, що деяким користувачам буде запропоновано скинути паролі.

«Наші дані вказують, що обліковий запис тільки одного користувача Spotify був скомпрометований, при цьому не було вкрадено ні пароля, ні фінансової або платіжної інформації ... Ми зв'язалися з цією людиною. На підставі наших висновків, будь-якого підвищеного ризику для інших користувачів внаслідок даного інциденту немає », - написав Сталь.

Spotify обмежує поновлення тільки користувачами Android і не рекомендує ніяких дій для iOS- і Windows-телефонів. Більш того, в компанії вважали за краще більш нічого не розголошувати. Це змусило експертів зробити «обґрунтоване припущення», що, мабуть, мала місце показова атака для команди Spotify, яка спонукала їх прийняти більш суттєві, ніж очікувалося, заходи. Якщо так, то це хороший приклад того відповідального підходу до вирішення проблеми. З іншого боку, це поки лише здогадки. Spotify подробицями вирішив не ділитися.