Новостной радар Anti-Malware.ru. Выпуск 4, сентябрь 2012

Что общего между иранским интранетом, мобильными устройствами Samsung и безработными французами? Да, вы совершенно правы: все это – новые темы для свежего выпуска Новостного радара Anti-Malware.ru. Обо всем этом и кое о чем другом мы приглашаем вас узнать или вспомнить благодаря последнему сентябрьскому обзору ключевых событий недели. Вы готовы? что ж, тогда приступим...


Карта Новостного радара


Просмотреть Новостной радар - Выпуск 8 на карте большего размера

 

Британское харакири

Антивирусная программа Sophos совершила ритуальное самоубийство, признав инфицированными свои собственные критические компоненты. Само по себе ложное срабатывание, как справедливо отмечают многие специалисты, не является чем-то из ряда вон выходящим – с кем не бывает, в конце концов, - но факты реагирования антивируса на самого себя составляют явление редкое и нетривиальное. Подобная реакция фактически может свидетельствовать об одном: предварительного тестирования обновлений антивирусных баз перед выпуском не было. Иное объяснение произошедшему найти сложно.

Получив некорректные сигнатуры, программа обнаружила у себя и ряда других приложений явные признаки вредоносного загрузчика-обновлятора. В зависимости от того, какие настройки были выставлены пользователем, эффект разнился: некоторые клиенты просто получили уведомления об угрозе, а у других сработало автоматическое удаление «инфекции», в результате чего антивирус утратил способность к обновлению баз. Несомненно, итог мог бы быть и более печальным – по крайней мере, защита в целом продолжила работать, - однако поступление свежих сигнатур, как известно, является важным элементом антивирусной обороны.

Сейчас многие производители, помимо тщательного тестирования обновлений, принимают меры к тому, чтобы смягчить возможные последствия ложных срабатываний. В частности, антивирусы оснащаются механизмами отката баз к предыдущему состоянию, доверенными зонами и правилами исключений, а также обязательно сохраняют копии всех удаленных файлов на случай, если их понадобится восстановить. Возможно, какие-то инструменты из этого арсенала со временем освоит и Sophos.

Впрочем, программе еще повезло, что ее обновлением занимался отдельный исполняемый файл. Иногда вендоры сосредоточивают весь функционал в одном файле, и его случайное или преднамеренное удаление может вывести из строя всю защиту в целом.

 

Осторожно, двери закрываются

Примерно полтора-два месяца назад мы писали о слухах по поводу великого иранского брандмауэра – намерения властей гордой ближневосточной страны создать собственную телекоммуникационную сеть, изолированную или ограниченно связанную с Интернетом. Иранское государство все это время не сидело без дела и уже официально объявило о начале перехода на такую сеть. Об этом мы сообщали в понедельник.

Для начала на новую внутреннюю сеть переведут официальные органы – министерства и ведомства, - а затем пользоваться интранетом придется и рядовым гражданам. Уже сейчас страна блокирует некоторые глобальные сервисы вроде Google (и, в частности, Gmail), аргументируя это необходимостью защиты от внешних угроз в виде Stuxnet и ему подобных. Учитывая тот факт, что однозначную вину Интернета в заражении SCADA-систем иранских атомных объектов вроде бы так и не установили, о полезности этих мер судить сложно. Ясно одно: сообразив, что вести контрпропаганду на территории противника сложно и малоэффективно, власти Ирана решили рассечь Гордиев узел и обеспечить себе возможность полностью перекрыть каналы информационного воздействия на свое население. Учитывая то, сколь активно в западных странах пишутся научные работы об использовании блог-площадок и социальных сетей для организации «цветных революций», опасения иранцев могут быть небеспочвенны.

Другое дело, что населению все эти защитные меры не особенно нравятся. Архетип «власти скрывают» - популярное явление во многих странах, и при попытках ввести цензурные ограничения граждане начинают искать обходные пути в цитадель демократии, чтобы прочитать там правду о своем государстве. Соцопросы показывают, что большинство людей твердо уверено: манипулировать ими невозможно, а, значит, никакие государственные меры борьбы с пропагандой не нужны. Специалисты по ведению информационных войн довольны и счастливы.

«У меня двоякое отношение к иранской инициативе», - говорит постоянный эксперт Anti-Malware.ru Валерий Ледовской. - «Данное решение вопроса, связанное с контролем Интернета на уровне государства - гораздо более жесткое, чем в Китае. Иран обосновывает этот "интернет-занавес" защитой объектов своей инфраструктуры повышенного риска (ядерную электростанцию и пр.). Здесь есть и политические мотивы - задача оградить граждан страны от информации, непотребной для их культуры и менталитета. Нам с нашим менталитетом это сложно понять, но подобные политические задачи сохранения в стране того уклада, который создавался веками и который запросто может быть разрушен с помощью Твиттера или Ютуба вполне нормальны в условиях Ирана. "Параллельный Интернет" технически, судя по всему, создаётся для того, чтобы была возможность отключить "внешний" Интернет временно в случае необходимости, но при этом внутренние производственные и другие процессы в стране не останавливались. Я всё же надеюсь, что полного отключения Интернета на постоянной основе не последует. Ибо при этом возникнет множество проблем - по крайней мере, иранские учёные и специалисты в различных областях Ирана не смогут полноценно обмениваться информацией со своими зарубежными коллегами. Представьте, что ваш врач не сможет проконсультироваться с зарубежным коллегой по вашему случаю. И это лишь один пример. То, что сейчас блокируется связь по защищённому протоколу HTTPS - у этого уже должны быть серьёзные последствия. Например, граждане Ирана, получается, уже сейчас не могут оплачивать покупки в интернет-магазинах. Сотрудники зарубежных компаний, работающие в Иране, не могут получить доступ к корпоративным информационным ресурсам, расположенным в зарубежных офисах, по VPN-каналам. Персональную информацию (например, те же истории болезней) в случае необходимости приходится передавать фактически в открытом виде. Резюмируя сказанное, можно сказать, что стремления Ирана вполне понятны, но при реализации этих стремлений придётся постоянно задумываться о том, чтобы не остановилось объективно позитивное развитие иранских технологий и иранского общества, которое, так или иначе, интегрировано в мировое сообщество».

 

Это вышло случайно!..

Все-таки нужда толкает людей на самые разные поступки, порой не особо обдуманные. Одного безработного француза она, например, едва не довела до тюрьмы, хотя начиналось-то все довольно безобидно...

Испытывая острую потребность сэкономить на чем-нибудь, герой нашего рассказа однажды искал способы получить доступ к платным функциям Интернет-коммуникатора Skype, ничем не делясь при этом с компанией-производителем. Иначе говоря, просвещенный европеец постиг мудрость российских и восточноевропейских пиратов, традиционно рассуждавших в духе «у них там и без меня много денег». В ходе поисков он добрался до интерактивного голосового меню кредитного департамента Банка Франции, причем не клиентского, а внутреннего. Система потребовала у него код доступа, горе-хакер ввел 123456 (первое, что пришло ему в голову), после чего защитный механизм благополучно включил сигнализацию и доложил о несанкционированном проникновении.

Хотя в пользовательском профиле «взломщика» был ответственно указан домашний адрес, французская полиция искала его два года. Когда же опасный преступник был наконец обнаружен и арестован, комиссары предъявили ему обвинение во взломе телефонной сети банка. Суд, выслушав оправдания обвиняемого и аргументацию адвокатов, счел, что прокурору не удалось доказать наличие преступного умысла в действиях француза, и отпустил «злоумышленника» на волю. Что ж, по крайней мере, теперь он будет осторожнее в поисках способов сэкономить.

«Некоторые, так сказать, зрелые службы безопасности просто стесняются давать ход делам о мелких кражах и незначительных нарушениях, которые они пресекли», - комментирует эту историю главный аналитик InfoWatch Николай Федотов. – «В этом случае у начальства (а бывает - и у широкой  публики) может сложиться впечатление, что никого серьёзного они поймать не в состоянии. Иногда так оно и есть. Поэтому поступают как настоящие рыбаки: мелочь отпускают, а крупную рыбу в спичечный коробок складывают. Службы информационной безопасности ещё не набрались истинной мудрости от своих "старших" коллег. Поэтому часто становятся посмешищем».

 

Опасный интерфейс

В фирменной оболочке TouchWiz для мобильных телефонов Samsung обнаружили опасный изъян, который позволяет злоумышленнику выполнить широкий спектр действий с телефоном – вплоть до блокировки SIM-карты и уничтожения всех данных, причем, по некоторым данным, не требуется даже взаимодействие с пользователем – достаточно открыть страницу с кодом в обозревателе Интернета или прочитать вредоносное SMS-сообщение.

Поначалу сообщалось, что «чистый» Android, не облаченный в TouchWiz, не подвержен изъяну, что и привело экспертов к выводу о вине интерфейса от Samsung. Впоследствии, однако, появилась информация, гласящая, что уязвимость является более глобальной проблемой, а история с TouchWiz – лишь отдельное ее проявление (хотя Samsung уже успела выпустить патч). По новым данным, некоторые Android-устройства (в том числе от HTC, Motorola и Sony) некорректно обрабатывают телефонные ссылки с внедренными USSD-командами, что и приводит к возникновению и потенциальной эксплуатации изъяна.

Оказалось, что проблема известна уже довольно давно, и Google вроде как даже исправила ее, однако не все производители внесли необходимые коррективы. С учетом этого странно, что атакующий код срабатывал и на последнем флагмане Samsung – Galaxy S III. Пока что специалист по безопасности Дилан Рив изготовил специальную тестовую страницу, на которой пользователи устройств под управлением Android могут протестироваться и узнать, подвержен ли их телефон данной уязвимости; теперь дело за производителями мобильников. На данный момент не было сообщений об использовании изъяна злоумышленниками, но явно не стоит рассчитывать на их нейтралитет в этом вопросе.

 

Миллиард уязвимостей

В Java опять нашли изъян, и опять критический. Складывается впечатление, что этот программный продукт и родственные ему проекты проще написать заново, чем постоянно править. Так или иначе, в силу кроссплатформенности решения общее количество пользователей, рискующих стать жертвами злоумышленников «благодаря» новой уязвимости, может достичь миллиарда.

Именно такую цифру озвучил специалист по безопасности Адам Гаудиэк, которого некоторые отечественные электроСМИ назвали «Говдяк» (будучи, видимо, под сильным впечатлением от степени опасности и критичности найденного им изъяна). По словам исследователя, уязвимость масштабна (ибо существует сразу в трех версиях Java), подвергает риску компьютеры под управлением Windows, Linux и Mac OS и позволяет потенциальному злоумышленнику получить контроль над машиной. Пользователю достаточно открыть особым образом сформированную веб-страницу, чтобы атакующий код был приведен в исполнение, причем от конкретного обозревателя успешность нападения не зависит. В ходе проверок были испытаны Chrome, Firefox, Internet Explorer, Opera и Safari; все они без явного сопротивления позволили эксплойту сработать.

Как и в более ранних случаях (последний был зарегистрирован в конце августа, и о нем мы тоже писали в Новостном радаре), наиболее оптимальным способом борьбы с уязвимостью является хирургический: пользователям советуют удалить или отключить Java вплоть до следующего набора обновлений от Oracle, который ожидается в середине октября.

Эксперт Anti-Malware.ru Василий Бердников не удивился этой новости, сказав, что «во всех приложениях существуют уязвимости. И чем более распространена программа - тем больше ею будут интересоваться и стараться найти уязвимое место, чтобы затем ее проэксплуатировать и заработать денег. Но в свою очередь разработчик должен максимально обезопасить своих пользователей - на текущий момент, хотя бы, в максимально короткие сроки выпускать патч. Пока же пользователям придется ждать месяц».

***

Сентябрь заканчивается, и Новостной радар отключается до следующего месяца. Ровно через семь дней мы вновь подведем итоги информационной недели; возвращайтесь к нам регулярно, и вы будете в курсе всех важных и популярных новостей. Пока же настало время прощаться.

До новых встреч, и всего вам доброго!

Подпишитесь
в Facebook

Я уже с вами
Telegram AMПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru