Security Week 22: Microsoft против паролей, судебные неувязки с Tor, криптолокер атакует клиентов Amazon

В этом выпуске Константин Гончаров рассказывает о новом подходе Microsoft к паролям, о том, как судья пытался выманить у ФБР уязвимость в Tor и о многочисленных клиентах Amazon, поближе познакомившихся с Locky

Security Week 22: Microsoft против паролей, судебные неувязки с Tor, криптолокер атакует клиентов Amazon

Security Week 22: Microsoft против паролей, судебные неувязки с Tor, криптолокер атакует клиентов Amazon

Google хоронит пароли, а Microsoft — нет. Напомню, в предыдущем выпуске я рассказал про светлое будущее в виде проекта Google Abacus — спорную, но весьма прогрессивную систему идентификации пользователя по его поведению (aka я помню все твои трещинки).

Почти одновременно к беседе о паролях присоединилась компания Microsoft, но выступила (новость), скажем так, с позиций традиционализма и ортодоксальности. Если конкретно, пост в блоге разработчиков Active Directory посвящен борьбе не со всеми паролями, а только с плохими.

Microsoft можно понять: она работает на рынке корпоративного ПО, а там инновации приживаются убийственно медленно (мимо дрожащих истерзанных рук; да что у меня сегодня такое с песенными ассоциациями?!). Очевидно, что с «абакусом» или без него с паролями мы будем иметь дело еще долго.

Так вот, по словам представителя Microsoft, типовые подходы к обеспечению стойкости паролей, такие как требования к длине пароля, наличию спецсимволов и регулярной замене, не работают. Более того, они упрощают задачу взлома: огражденные со всех сторон заборчиками политик, пользователи задают и обновляют свои пароли крайне предсказуемым образом. Если, например, поставить забор повыше (задать порог минимум в 10–15 символов), сотрудники начинают повторять одно и то же слово несколько раз подряд. Не ок.

Как многолетний офисный труженик «Ворда», не могу не согласиться. Браво! Но не уверен, что предлагаемое компанией решение порадует меня именно как сотрудника. Microsoft работает с огромным количеством учетных записей в куче пользовательских и корпоративных сервисов. И вот она решила использовать информацию о том, как эти записи пытаются взломать (10 миллионов атак в день!).

В результате мы получаем функцию Dynamically Banned Passwords. Будучи внедренной в корпоративном окружении, она не позволит сотруднику задать пароль, про который точно известно, что он (1) слаб и что (2) злодеи уже пытались (возможно, успешно) взломать такой же (или похожий) пароль где-то еще.

Так себе и представляю: подходит время ввода нового пароля — и начинается. Меньше 15 символов нельзя, без спецсимволов нельзя, несколько одинаковых цифр подряд нельзя. А теперь в некоторых случаях просто нельзя — и все тут! Плохой пароль, думай лучше, сетевой труженик! Креативнее! Ярче! Острее!

К счастью, такая функция пока доступна только клиентам облачного сервиса Azure, и то в виде ограниченного бета-теста. С точки зрения безопасника, это правильная идея: всех проблем она не решит, но теоретически может предотвратить сценарий, когда у сотрудника сначала ломают личную учетную запись где-либо, а потом заходят в сеть компании с тем же паролем. Для этого желательно не ограничиваться сбором экспертизы в пределах сервисов одной компании, пусть и большой. Но кооперация между игроками в индустрии ИБ — это совсем другая история.

Американский суд отказался принять в качестве доказательства данные, собранные благодаря взлому Tor

Новость.

После завершения судебных баталий между Apple и ФБР тема инфобезопасности в контексте судебных разбирательств ушла на второй план, но ненадолго. Гораздо более длительный процесс по уголовному делу о хранении детской порнографии на этой неделе получил неожиданное развитие.

Впрочем, начнем сначала. 62-летний подозреваемый был арестован еще в прошлом году в Сиэтле. По мнению обвинения, он загружал детское порно с сайта Playpen, доступного только в Дарквебе, с использованием браузера Tor. В какой-то момент ФБР завладело серверами сайта и разместило на них эксплойт, позволявший выяснить реальный адрес компьютеров нескольких десятков пользователей. Остальное было делом техники.

Но в ходе судебного разбирательства что-то пошло не так. Адвокаты обвиняемого потребовали раскрыть техническую информацию об эксплойте (в терминах ФБР это называется «техника сетевого расследования», network investigative technique).

Причину нашли оригинальную, но железобетонную: если речь идет о взломе компьютера (а как еще можно было раскрыть реальный IP?), то это означает удаленное управление компьютером без ведома владельца. А если так, то, может, он не сам качал криминал, а ему помогли? Нет, конечно, не ФБР (ни в коем случае), но взломанный компьютер вообще доступен всем с минимальным набором умений. А Дарквеб — такое место, там вообще опасно, знаете ли.

ФБР детали раскрывать отказалось, что вполне ожидаемо. Напомню, в деле Apple против ФБР общественность также не узнала, как именно взломали айфон террориста. Логично: если каждый раз рассказывать как, то взламывать устройства в следственных целях будет все сложнее и сложнее. И дело не в детской порнографии и конкретном подозреваемом: это судебное разбирательство — очередное в серии попыток определить, где заканчивается расследование и начинается кибервзлом.

Должны ли госструктуры делиться эксплойтами с разработчиками софта, чтобы те могли закрывать дыры? Ранее этот вопрос задали ФБР разработчики Mozilla, так как их код используется в Tor и есть вероятность, что уязвимость как раз на их стороне. И ей могут быть подвержены десятки миллионов ни в чем не повинных пользователей.

В результате получилась ситуация, обратная кейсу Apple/FBI: здесь у ФБР что-то требуют, а организация не хочет это что-то давать. Возможности надавить на ФБР у судьи, видимо, не было, поэтому было принято такое решение: если ФБР не раскрывает детали, то доказательства, собранные с помощью эксплойта, не принимаются.

Security Week 22: Microsoft против паролей, судебные неувязки с Tor, криптолокер атакует клиентов Amazon

Продолжаем следить за развитием событий.

Клиентов Amazon атакуют зараженным спамом с криптолокером внутри

Новость.

Если где-то в недрах сетевой киберпреступности и есть план распространения криптолокеров, то его явно писал менеджер, а не технарь. С технической точки зрения трояны-шифровальщики остаются в массе своей довольно примитивными, а основная опасность кроется в методах распространения. Тут и торговые сети criminal-to-criminal, где можно получить кастомный шифровальщик за недорого, и «партнерские программы», ну и, конечно, грамотный копирайтинг в фишинге — главном способе проникновения на компьютер жертвы.

Security Week 22: Microsoft против паролей, судебные неувязки с Tor, криптолокер атакует клиентов Amazon

На этой неделе новость как раз про креатив. Исследователи компании Comodo зафиксировали широкомасштабную рассылку спама клиентам Amazon. Сообщение мимикрирует под стандартную рассылку интернет-магазина: «Ваш заказ был отправлен». Отправитель подделан, тело письма пустое, в аттаче — зараженный документ Microsoft Word. В общем, надо постараться, чтобы заразиться, но масштаб атаки и, увы, невнимательность пользователей гарантируют: жертвы будут. Выкуп у Locky составляет от $200 до $500. Про технические особенности этого троянца можно почитать тут.

Что еще произошло:

Уязвимость нулевого дня для Windows продают за $90 тысяч. В России тоже хотят торговать эксплойтами.

Две уязвимости в Google Chrome.

Аресты киберграбителей в России: новость и исследование экспертов «Лаборатории».

Security Week 20: случайные числа, уязвимость в 7-Zip, Microsoft выключает WiFi Sense

Древности:

Семейство «Advent»

Нерезидентные вирусы, зашифрованы, при запуске поражают .COM- и .EXE-файлы. .EXE-файлы поражаются стандартно, у .COM-файлов изменяют первые 23h байт начала на коды перехода на тело вируса.

Не активизируются, если в ENVIRONMENT присутствует строка «VIRUS=OFF» (для «Advent-2764») или «SYSLOCK=@» (для «Advent-3551»). «Advent-2764» начиная с середины ноября проявляется поздравлением «MERRY CHRISTMAS!» в комплекте с простенькими картинками, появляющимися под аккомпанемент не менее простенькой музыки. «Advent-3551» заменяет в секторах дисков строку «Microsoft» на «Macrosoft».

Цитата по книге «Компьютерные вирусы в MS-DOS» Евгения Касперского. 1992 год. Страницa 21.

Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.

Советы