Как известно, спецслужбы США и других страны находятся в активном поиске новых 0day-уязвимостей, которые используют для различных операций. Например, американо-израильский Stuxnet использовал пять 0day-уязвимостей.
Американские власти официально признали факт использования «кибероружия». При этом они уверяют, что процесс происходит исключительно законным образом, в рамках установленной процедуры.
Но Фонд электронных рубежей получил документы, которые совершенно не подтверждают эту позицию. Скорее наоборот, опровергают её. Всё указывает на то, что Stuxnet использовали до того, как существовало законодательство, регламентирующее применение подобного кибероружия.
Один из документов от 8 июля 2010 года называется
«Основные пункты процесса легализации уязвимостей» (“Vulnerability Equities Process Highlights”). Там написано, что в течение 120 дней после принятия данной директивы следует разработать совместный план по «применению атакующих возможностей для защиты информационных систем США». Cказано также, что в 2008 году была образована рабочая группа, которая должна была «улучшить возможности властей по использованию полного спектра атакующих возможностей».
Судя по всему, речь идёт о кибероружии вроде Stuxnet и использовании 0day-уязвимостей для шпионажа. Подобная интерпретация подтверждается другим документом, который тоже попал в руки специалистов Фонда электронных рубежей.
Зловред Stuxnet был обнаружен антивирусными компаниями в июне 2010 года. Другими словами, власти США сначала использовали Stuxnet против Ирана, а потом задумались: а ведь нужно принять законы, чтобы подобные действия были легальными в будущем.
Фонд электронных рубежей заявляет, что выданных властями документов с большими цензурными правками недостаточно, чтобы считать действительно прозрачной процедуру использования властями 0day-уязвимостей.
YouTube закрыл уязвимость, которая позволяла любому пользователю произвольно удалять чужие видеоролики с видеохостинга. Специалисты отдела безопасности отреагировали на баг-репорт исключительно быстро, понимая, какой хаос может возникнуть в том случае, если информация попадёт в паблик. В считанные минуты с YouTube исчезли бы десятки тысяч самых популярных видеороликов с котиками, Джастином Бибером, Gangnam Style и другими хитами. Пожалуй, это тот случай, когда кое-кто может и пожалеть, что уязвимость закрыли так быстро.
Автор эксплоита Камиль Хисматулин из Казани рассказывает, что постоянно участвует в программе поиска уязвимостей Google. На этот раз он выбрал в качестве цели YouTube Creator Studio и рассмотрел, как работает система live_events/broadcasting, в поисках уязвимостей CSRF или XSS. Ннеожиданно он обнаружил логический баг, который давал возможность удалить любое видео с YouTube простым запросом:
POST https://www.youtube.com/live_events_edit_status_ajax?action_delete_live_event=1
event_id: ANY_VIDEO_ID
session_token: YOUR_TOKEN
Несмотря на субботнее утро, отдел безопасности Google мгновенно исправил уязвимость, а российскому хакеру назначили вознаграждение $5000. «Видеоролики Бибера не пострадали», — шутит Камиль в своём блоге.
Маркетологи довольно давно разработали хитрые приёмы для слежки за пользователями. Они внедряют прозрачное изображением размером 1×1 пиксел, которое пингует сервер шпиона и сообщает всю возможную информацию о компьютере, с которого открыто письмо.
Главное, что интересует маркетологов: было открыто письмо или нет. Если да, то они получают IP-адрес пользователя, версию браузера и т.д. Подобным бизнесом занимаются компании вроде Streak, Yesware, Bananatag и др. Например, расширение Streak для внедрения следящих закладок установили более 300 000 человек.
Некоторых такие «трекинговые» письма жутко раздражают. Например, разработчик Сонни Туляганов (Sonny Tulyaganov) оказался раздражён до такой степени, что разработал защитное расширение для Chrome под названием UglyEmail, которое включает индикатор, если в ящик Gmail пришло шпионское письмо. Индикатор — следящий глаз в заголовке письма. Таким образом, вы заранее видите шпионские письма, даже не открывая их.
Расширение интегрируется в интерфейс Gmail.
Ну, а полностью заблокировать «следящие» картинки в Gmail можно с помощью другого расширения PixelBlock.
По результатам исследования, которое компания Google провела совместно с учёными из Калифорнийского университета в Беркли, на компьютерах около 5% посетителей сайтов и сервисов Google установлены программы, внедряющие постороннюю рекламу на веб-страницы.
По сравнению с другими зловредами, инжекторы рекламы кажутся относительно безобидными. Казалось бы, что такого опасного, если на странице с поисковыми результатами появится дополнительный баннер, как на иллюстрации?
Но на самом деле эти программы можно сравнить с печально известным Superfish, поскольку они порождают ряд неприятных побочных эффектов. К тому же, примерно треть выявленных инжекторов напрямую признаны опасными.
Подобные расширения (в опасном или неопасном вариантах) часто устанавливаются на компьютер вместе с нормальным программным обеспечением, ведь для разработчиков использование таких инсталляторов и download wrapper’ов — один из самых простых способов заработать на распространении бесплатного софта.
В рамках исследования были проверены 100 млн страниц, загруженных с сайтов Google через браузеры Chrome, Firefox и Internet Explorer. Выяснилось, что внедрение рекламы осуществляется на всех основных браузерах и операционных системах.
Как уже было сказано, заражены компьютеры около 5% посетителей. Удивительно, что у каждого третьего из них установлены как минимум четыре таких расширения.
Компания Google забанила 192 «рекламных» расширения для Chrome, которые были установлены на 14 млн компьютеров. Теперь она ожидает аналогичных действий от разработчиков других браузеров. Разработаны методы для автоматического выявления инжекторов рекламы в каталоге Chrome Web Store.
Не так уж много выпускников вузов обладают теми знаниями и способностями, которые нужны для компьютерных подразделений АНБ. Проблема спецслужб ещё и в том, что ИТ-компании предлагают самым талантливым ребятам очень большие деньги, которые превышают государственное обеспечение, хотя оно тоже немаленькое. Но самые большие проблемы с набором сотрудников начались после скандала вокруг АНБ, связанного с публикацией документов Эдварда Сноудена, пишет NPR.
В прежние годы работа на разведку была окутана ореолом романтики, считалась патриотичным делом. «Когда я заканчивал школу, то думал найти работу в будущем у оборонного подрядчика или в самом АНБ», — говорит Даниель Суонн (Daniel Swann), 22-летний старшекурсник университета Джонса Хопкинса с талантом в сфере информационной безопасности и явно хорошими карьерными перспективами. Скоро он начнёт профессиональную деятельность в этой области. После 2013 года и известных событий со Сноуденом мнение студента резко изменилось. Cтали известны методы работы АНБ, включая сквозное прослушивание коммуникаций. «Я не могу представить себе, что работаю там, — говорит Даниель. — Частично по этим моральным соображениям».
В этом году АНБ нужно 1600 новобранцев. Сотни из них должны быть высококлассными специалистами в информатике и математике. До настоящего времени удавалось заполнять штат, но в нынешних условиях снижения популярности АНБ и усиления конкуренции со стороны Кремниевой долины это становится более трудной задачей.
Без нужных специалистов мощь суперкомпьютеров АНБ пропадёт впустую, потому что вовсе не компьютеры взламывают код. Это делают люди, в результате тяжелого труда.
Мнение студентов разделяют и преподаватели в том же университете Джонса Хопкинса. «До Сноудена мы смотрели на АНБ как на разведывательное агентство, которое делает то, что ему положено делать, — говорит профессор университета Мэттью Грин (Matthew Green). — Но мы узнали, что они собирают невероятный объём информации. И они не стесняются делать всё, что могут, для доступа к этой информации».
Впрочем, есть и противоположное мнение. Например, технический руководитель дирекции по обеспечению информации АНБ Нил Циринг (Neal Ziring) говорит, что некоторые студенты, наоборот, заинтересовались работой в АНБ, когда узнали о режиме тотальной слежки и доступе к абсолютно любым цифровым коммуникациям.
Но даже Циринг признаёт проблему с имиджем: так, раньше АНБ работало бок о бок с технологическими компаниями, а сейчас Кремниевая долина начинает относиться враждебно к разведчикам. К тому же, студентам вроде Суонна, например, Microsoft во время стажировки платит $7000 в месяц и предоставляет в бесплатную аренду автомобиль. АНБ не способно конкурировать по деньгам, поэтому раздаёт другие бонусы от имени государства, любые виды страховок, предлагает гибкий график и уникальные интеллектуальные задачи, которые не предложит ни одна ИТ-компания.
Сисадмин и программист Марк Монтегю (Mark Montague) из Мичиганского университета с 19-летним стажем решения проблем информационной безопасности составил очень толковую презентацию с ясным изложением информации, необходимой для взлома сайта под WordPress. Цель презентации — убедить владельцев обязательно обновляться до последней версии программного обеспечения.
По мнению Монтегю, самый простой способ начать атаку — установить дистрибутив Kali Linux с более 300 хакерскими программами, там есть всё необходимое. Из них злоумышленнику понадобятся только три:
WPScan: программа для поиска уязвимостей на сайтах WordPress и брутфорса паролей.
Metasploit: фреймворк с простым веб-интерфейсом позволяет начать атаку без особых технических знаний.
Weevely: “PHP web shell”, который загружается на сайт и работает как бэкдор, потенциально, предоставляя полный контроль над веб-сервером.
Например, так выглядит результат работы WPScan.
Script started on Thu 02 Oct 2014 09:49:02 PM EDT
root@badguy2: ~# wpscan --url myblog2.catseye.org
_______________________________________________________________
__ _______ _____
\ \ / / __ \ / ____|
\ \ /\ / /| |__) | (___ ___ __ _ _ __
\ \/ \/ / | ___/ \___ \ / __|/ _` | '_ \
\ /\ / | | ____) | (__| (_| | | | |
\/ \/ |_| |_____/ \___|\__,_|_| |_|
WordPress Security Scanner by the WPScan Team
Version 2.5.1
Sponsored by the RandomStorm Open Source Initiative
@_WPScan_, @ethicalhack3r, @erwan_lr, pvdl, @_FireFart_
_______________________________________________________________
[+] URL: http://myblog2.catseye.org/
[+] Started: Thu Oct 2 21:49:18 2014
[!] The WordPress 'http://myblog2.catseye.org/readme.html' file exists
[+] Interesting header: SERVER: Apache/2.4.7 (Ubuntu)
[+] Interesting header: X-POWERED-BY: PHP/5.5.9-1ubuntu4.4
[+] XML-RPC Interface available under: http://myblog2.catseye.org/xmlrpc.php
[+] WordPress version 4.0 identified from meta generator
[+] WordPress theme in use: twentyfourteen - v1.2
[+] Name: twentyfourteen - v1.2
| Location: http://myblog2.catseye.org/wp-content/themes/twentyfourteen/
| Style URL: http://myblog2.catseye.org/wp-content/themes/twentyfourteen/style.css
| Theme Name: Twenty Fourteen
| Theme URI: http://wordpress.org/themes/twentyfourteen
| Description: In 2014, our default theme lets you create a responsive magazine website with a sleek, modern des...
| Author: the WordPress team
| Author URI: http://wordpress.org/
[+] Enumerating plugins from passive detection ...
| 1 plugins found:
[+] Name: custom-contact-forms - v5.1.0.3
| Location: http://myblog2.catseye.org/wp-content/plugins/custom-contact-forms/
| Readme: http://myblog2.catseye.org/wp-content/plugins/custom-contact-forms/readme.txt
[!] Directory listing is enabled: http://myblog2.catseye.org/wp-content/plugins/custom-contact-forms/
[!] Title: Custom Contact Forms <= 5.0.0.1 - Cross Site Scripting
Reference: https://wpvulndb.com/vulnerabilities/6296
Reference: http://packetstormsecurity.com/files/112616/
[!] Title: Custom Contact Forms <= 5.1.0.3 Database Import/Export
Reference: https://wpvulndb.com/vulnerabilities/7542
Reference: http://blog.sucuri.net/2014/08/database-takeover-in-custom-contact-forms.html
Reference: http://www.rapid7.com/db/modules/auxiliary/admin/http/wp_custom_contact_forms
[i] Fixed in: 5.1.0.4
[+] Finished: Thu Oct 2 21:49:21 2014
[+] Memory used: 2.191 MB
[+] Elapsed time: 00:00:03
root@badguy2: ~# exit
Далее в дело вступает Metasploit, где есть все необходимые модули для взлома WordPress. Получив лицензионный код на программу и создав проект, можно атаковать любой IP.
С помощью Metasploit в WordPress создаётся новый аккаунт с правами администратора. Что делать на этом этапе? Можно просто стереть всё содержимое, но в этом мало смысла, потому что сайт восстановят из резервной копии. Скорее всего, злоумышленник предпочтёт установить бэкдор, чтобы расширить свои возможности.
Программа Weevely создаёт валидный PHP-код для размещения в основной директории WordPress, а удалённый доступ в систему осуществляется потом по адресу вроде http://***/weevely.php (разумеется, файл лучше переименовать в нечто менее заметное).
Автор презентации подробно объясняет, как разместить бэкдор в системе и что с ним делать в дальнейшем, а также описывает все необходимые меры безопасности, которые должен предпринять админ.
Говоря об экосистеме WordPress, можно предположить, что у злоумышленников есть список всех IP-адресов и всех сайтов, работающих под WordPress (с указанием версии WordPress и версий всех установленных плагинов), так что в случае обнаружения новой уязвимости очень оперативно начнётся атака по сценарию, описанному в этой презентации. А новые уязвимости для WordPress и плагинов появляются с завидным постоянством.
Американский президент Барак Обама призвал к введению санкций против «вредоносных киберагентов», которые пытаются извлечь финансовую выгоду от взлома американских компаний. Вчера объявлено о принятии приказа, который даёт полномочия министерству финансов, государственному секретарю и генеральному прокурору накладывать санкции на участников кибератак на компьютерные сети американских компаний и государственных учреждений.
«Эффективное реагирование на инциденты требует возможности увеличить издержки и снизить экономические преимущества от вредоносной киберактивности, — сказано в постановлении. — Это значит, что вдобавок к существующим инструментам требуется введение новых возможностей для сдерживания путём наложения дополнительных расходов на тех, кто несёт ответственность за значительный ущерб от киберактивности».
«Ответственным за кибератаку» может быть физическое лицо, юридическое лицо или целая страна. Их поместят в список “Specially Designated Nationals List”, специально предназначенный для этих целей. В списке перечислены различные террористы, нарушители международного законодательства и прочие изгои, которых не получилось экстрадировать и судить нормальным образом.
В случае принятия санкций американским компаниям (а значит, почти всем остальным компаниям в мире) запрещено иметь отношения с указанным физическим лицом, юридическим лицом или страной.
Президентский приказ будут использовать исключительно избирательно, в редких случаях, пояснила Лиза Монако (Lisa Monaco), помощник президента по вопросам национальной безопасности и вопросам борьбы с терроризмом.
