В начале сентября в Лас-Вегасе прошла очередная ежегодная конференция по безопасности Black Hat 2015 (черная шляпа). Подведем краткие итоги этого мероприятия, хотя и с небольшой задержкой.
На Black Hat этого года наиболее интересной демонстрацией стал взлом (исключительно с исследовательскими целями) дистанционно управляемого легкового автомобиля, но об этом уже много написано в других местах, да и способ взлома вполне стандартный.
Среди действительно примечательных тенденций можно отметить Malvertising (т.е. malicious advertising, рекламирование со злым умыслом). В форме рекламы пользователям доставляются файлы или ссылки на вредоносное ПО. Согласно данным компании RiskIQ (http://www.riskiq.com/ ) по мониторингу двух млрд. ежедневно публикуемых веб-страниц и 10 млн. приложений для мобильных устройств, объем таких опасных рассылок вырос на 260% во многом благодаря подменным обновлениям Flash-анимации. Компания отмечает опасность тенденции автоматического управления трафиком рекламных рассылок, которое выполняется исключительно компьютерами (programmatic advertising, программируемая доставка рекламы), что позволяет легко внедрять в такие информационные потоки постореннее и опасное ПО.
» Malvertising трудно обнаружить и устранить, поскольку распространение идет в рамках рекламных сетей, которые являются динамическими и не связаны со стационарными веб-сайтами. Более того, атакующие могут воспользоваться специфическим профилированием в таких рекламных сетях (распределение потока рекламы в зависимости от индивидуальных особенностей получателей), чтобы весьма точно и целенаправленно атаковать специфические группы пользователей».
В системах Android обсуждались две уязвимости с критически важным уровнем опасности. Первую из них часто называют Stagefright (открыта небольшой компанией Zimperium). Суть в том, что эта операционная система автоматически воспроизводит полученное видеосообщение (MMS) практически на любом гаджете с Android. От пользователя не требуется никаких подтверждений или разрешений, причем сообщение можно сделать вообще невидимым для пользователя. Google уже выпустила исправление («заплатку»), но применена она далеко не на всех гаджетах. Пользователям рекомендуется отключить функцию автоматического извлечения MMS (MMS auto-retrieve).
Вторая уязвимость названа Certifi-gate и выявлена Check Point. В данном случае устранение уязвимости весьма проблематично, поскольку сама «дыра в защите» вызвана некорректным действием дистанционно действующих надстроек, которыми пользуются как изготовители смартфонов (Samsung, LG, HTC, Huawei и ZTE в версиях вплоть до 5.1), так и операторы связи. Атакующий может внедрить свое вредоносное приложение за счет повышения полномочий с последующим перехватом управления. Уязвимость обнаружена в приложениях Rsupport, CommuniTake Remote Care и TeamViewer, а также нескольких других программах из интерактивного магазина Google App Store. Опасность в том, что невозможно лечение самим владельцем гаджета, поскольку невозможно удаление приложений, предустановленных изготовителем или оператором связи.
Уязвимости протокола граничного шлюза Border Gateway Protocol (BGP) конечных пользователей не касаются, но с ними связаны несколько занятных происшествий политического характера. Например, правительство Пакистана попыталось блокировать YouTube за счет изменения таблиц маршрутизации BGP в 2008 году, как и китайский провайдер в 2010 году, но в результате началось распространение новых дополнительных маршрутов.
Исследования Imperva показали возможность использования услуг синхронизации данных, например в GoogleDrive, Box, OneDrive и DropBox, в качестве основы для распространения вредоносного кода, который уже не будет обнаружен оконечными системами защиты. На этом принципе была основана прошлогодняя атака, обнаруженная Blue Coat.
Британская Context Information Security показала возможность повышения полномочий в службах Windows Server Update Services (WSUS) при использовании нешифрованного протокола HTTP, но эта уязвимость легко устраняется переходом на SSL.
Источник:
http://www.computerworld.com/article/2979655/security/of-black-hat-and-security-awareness.html
https://www.blackhat.com/ (официальный сайт)
http://www.techworld.com/news/security/black-hat-2015-5-security-vulnerabilities-that-have-researchers-worried-3622375/
Не видел пока на русском языке, поэтому хочу поделиться тремя базовыми принципами безопасности в Интернете (известны из разных публикаций, поэтому имя автора как-то потеряно) относительно программ и программного обеспечения:
1. Если не собираешься использовать, не устанавливай.
2. Если установил, обновляй.
3. Если больше не используешь, удали.
Термин Black Hat (в смысле, любой человек, использующий Интернет в не слишком благих целях) недавно часто использовался в отношении английском версии добровольческой энциклопедии Wikipedia.
Не так давно редакционный совет английской версии Wikipedia (далее мы будем обсуждать только эту часть Вики) объявил о блокировании 381 учетных записей активных пользователей, участвующих в создании контента, из-за «неназванной проплаченной пропаганды/лоббирования». Проще говоря, эти люди публиковали пристрастные материалы, с возможной оплатой или по собственному побуждению. На жаргоне Вики такие учетные записи называются sockpuppet (марионетки). Расследования по этому поводу были начаты в июле и охватывали материалы, опубликованные с апреля по август. Хотя признается, что оплаченные материалы стали появляться намного раньше.
К подозрительным отнесены статьи о бизнесе, бизнесменах и артистах, поскольку именно здесь можно встретить диаметрально противоположные мнения. В результате было полностью удалено 210 статей, но искажения явно не ограничиваются только ими.
Это не первый случай проблем с проплаченными или искаженными материалами в Вики. В октябре 2013 года точно так же были блокированы три сотни учетных записей, связанные со сторонней консалтинговой компанией Wiki-PR, которая предлагала своим клиентам вывод на первые места в рейтинге результатов поиска по запросам системы Google как раз за счет размещения в Вики пристрастной и проплаченной информации.
Но сейчас мошенники предлагали не только публикацию платных статей, но и защиту их от удаления примерно за $30 в месяц. Кстати, после скандала с Wiki-PR в Вики были разработаны подробные рекомендации об оплате труда признанных и действующих редакторов этой энциклопедии. Эти материалы могут помочь начинающим авторам в правильной оформлении и подготовке материалов для Wikipedia – https://en.wikipedia.org/wiki/Wikipedia:Statement_on_Wikipedia_from_participating_communications_firms
Источник:
http://techcrunch.com/2015/09/01/wikipedia-bans-hundreds-of-black-hat-paid-editors-who-created-promotional-pages-its-site
Небольшое личное замечание: в свое время мне пришлось познакомится с обязанностями оценщиков одной из поисковых систем, когда автоматическая работа такой системы выборочно проверяется людьми по подробным и четким правилам (весьма объемный документ). Ну так вот: результаты из Wikipedia во всех случаях считаются наиболее достоверными и релевантными. Именно поэтому статьи из Wikipedia попадают на первую строку любого поисковика.