カスタムTop10 ITセキュリティイベント2014

作業用語では、確立された英語表現「脅威の風景」が1つあります。 通常、ロシア語に翻訳されていません（脅威の風景です）。 すべてが非常に簡素化されている場合、これは、企業が選択を行う種類に基づいたものです。鉄を追加購入するか、既存のインフラストラクチャを保護するためにお金を使うかです。 ここでの依存は直接的なものです。列車が絶えずレールから外れている場合、これは新しい機関車の購入によって決定されません。



さまざまな方法で、愛想の良いものから悲観的なものまでのスケールで景観を評価することができます（繰り返します）。 たとえば、セキュリティの専門家によるバージョンは次のとおりです。2014年の結果、 2015年の予測 、 数字のファンの場合は、 数字です。 企業自体はどう思いますか？ 私たちは定期的にこれについて彼らに尋ねます（詳細はこちら ）が、今年は別の非標準の方法を使用することにしました。



ITセキュリティの分野におけるすべての重要なニュースを追跡するため、 Threatpost Webサイトの編集委員会に参加しています。 関連する記事の人気という単一の基準に従って、発信年の10のイベント（ 英語版のサイトバージョン）を選択することにしました。 また、IT担当者、現在および将来の顧客、セキュリティに関連する興味深いニュースを受け取りました。 政治（つまり、スノーデンとNSAについての話）はまったくなく、戦略計画のかなりの数のトピックがあります。 しかし、今まさにこの状況を評価する際に考慮する必要がある問題が前面に出てきました。 詳細-カットの下。



10位。 TrueCrypt：5月の大失敗の後の最初の（条件付き）検証済み配布

ニュース 。 ドラマは詳細にあります。



「そんなことがあります。 TrueCryptは安全ではありませんが、理由を説明しません。 Windowsで標準暗号化を使用します。 そして私たちは別れを告げます。」 無料の解釈では、人気のあるTrueCrypt暗号化システムの開発者のWebサイト上のメッセージは、そのように聞こえました（そして、まだそこにハングしています）。 セキュリティシステムを選択すると（有料か無料か、暗号化かウイルス対策かは関係ありません）、特定のセキュリティアプローチの有効性に関する利便性、機能、および引数を評価します。 しかし、最初に、彼女を信頼する必要があります。コードを個人的に監査するには高すぎるので（利用可能であっても）。



TrueCryptの場合、私たちは非常に効果的でシンプルで無料の暗号化ツールを扱っていました。これは同時に匿名の著者グループによって開発されました。 正確に何が起こったのかはまだ明確ではありません。不治のバグが実際に発見されたか、当局が店を閉めることを推奨したか、単にコーディングにうんざりしました。 プロジェクトの閉鎖から6か月以上が経過しましたが、どうやら完全な真実を見つけることはできません。



すべての望みは、 Open Crypto Audit Projectの集合的なイニシアチブのみです。TrueCryptに関連する目的は、まさにコード監査です（だけではありません）。 6月末に、検証済みのTrueCryptバージョン7.1aディストリビューションがGitHubに投稿されました。 これは、穴が見つからず、すべてが正常であることを意味しますか？ ああ、いや、これはまだ長い道のりです。 これまでのところ、このバージョンのソースとビルドが、このバージョンのソースとビルドであることを確認しています。 バージョン7.1aコードは、監査の最初の部分で調査されました（結果は4月に公開されました）。 たとえば、 こちらでフォローできるアップデートをお待ちしています。



9位。 UltraDNSに対するDDoS攻撃

ニュース 。



DNS Amplificationメソッドを使用した最大100ギガビット/秒の容量を持つUltraDNSサービスに対する4月の攻撃により、数時間にわたって会社の顧客（ForbesマガジンのWebサイトなど）がアクセスできなくなりました。 特に今年のその他のDDoS攻撃と比較すると、特別なものではないようです。最大400 Gb / sの容量（既にNTPプロトコルの脆弱性を使用しています）。 問題は、そのような攻撃が標準になっていることです。 単一のターゲットを狙うこともある最も複雑な攻撃（たとえば、最新のReginキャンペーンレポート 、27人の被害者を参照）とは異なり、DDoSは普遍的な問題です。 データによると、少なくとも18％の企業がすでにDDoSに遭遇しています。 また、たとえば、スパム（問題番号1）が間接的な損害を引き起こす場合、Webサイトへのアクセス不能による損失は直接的であり、販売の損失と評判の損失に反映されます。 今年のトレンドは、基本的なネットワークプロトコルに穴を開けるだけでなく、DDoSとAKAに対する標的型攻撃を組み合わせて財布をスタンさせて盗む、肩を使った攻撃のみでした。 今日はこのトピックに戻ります。



トピック：Linux用の DDoSトロイの木馬の詳細な説明 。





Dark Hotelの標的型攻撃は、出張中に従業員からデータを盗むための重要な方法です。



8位。 iOS 7.1.1のロックバイパス

ニュース 。



iOS 7.1.1の4月の更新とMac OS Xのパッチは、実際にはAppleのSSLプロトコルの実装に重大な穴を閉じました（ただし、 これはそうではありません）。 よくあることですが、古いバグは新しいものに置き換えられました。そのうちの1つは、Apple iPhone 5 / 5sのブロックシステムを部分的に回避し、アドレス帳にアクセスできるようになりました。 このようなハッキングの従来のスキームでは、「さまざまなボタンをすばやく押して画面上をさまざまに突く」ことは今回が音声アシスタントSiriであったことは注目に値します。



誰もが知っているように、Appleに関するニュースは強力なトラフィックジェネレーターであるため、Appleデバイスの穴は単に評価に入れる必要がありました。 UltraDNSの場合のように、脆弱性自体は指標ではありませんが、業界のモバイルデバイスへの注目：企業は、モバイルデバイスを脅威と見なしています。しかし、職場でスマートフォンの使用を「禁止」することは不可能だと理解しています。



データによると、企業の22％で携帯電話の盗難や紛失に関連するセキュリティの問題に既に直面しています。 このような環境でのセキュリティバイパスは問題です。 特に、企業のスマートフォンが実際に保護されていない場合。 または、保護システムが機能しなかった場合。 同じバージョンのiOSでロックをバイパスすることに加えて、別の問題が発見されました。メールの暗号化は添付ファイルに適用されませんでした。 電話のファイルシステムへのアクセスは、添付ファイルへのアクセスを提供しましたが、これは何らかの形で間違っています。





Epic Turla-異なるAPT間の複雑な関係の3月の研究 。



7位。 壊れたからインターネット、それに応じて動作

ニュース 。



2つのミュージックビデオの助けを借りて、インターネット上でセキュリティの状態を非言語的に伝えるように求められた場合は、このようにします（コメントでWellcomeのオプションを選択します。音楽とアソシエーションについても説明します）。



望ましい状況：





実際の状況：





口頭で言うと、インターネットセキュリティの現状は、今年2月に私たちの専門家チームであるKostin Raiuの長により表明されました。インターネットは壊れています。 これは妄想ではなく、FUDではなく、広告でもありません。 どこを見ても、大規模で扱いにくい問題が至る所で見られます。重要なネットワークプロトコル、暗号化、メール、ウェブ、そしてすべてのものです。



どうする タイプライターやその他のサイバーパンクに戻っても助けにはなりません。まるで自動車ブームのof明期に馬が引く牽引力に賭けるようなものです。 この事実を考慮し、それに応じて防衛戦略を構築する必要があります。 「そこは閉じていませんが、開いた骨折です！」 この悲しい事実を考慮して、詳細に戻ります。



6位。 悪意のあるTorノード

ニュース 。



この場合のセキュリティシステムにおける信頼のトピックに関するもう1つの興味深い話は、匿名ツールです。 10月末に、研究者のJosh PittsがTorネットワークの出力ノードを発見しました。これにより、ユーザーがダウンロードした実行可能ファイルに悪意のあるコードがオンザフライで追加されました。 ロシアにあるノードは、ネットワーク管理によってすぐにブロックされました。 このようなハッキングから保護する方法は明らかです。誰も信用しないでください。 より具体的には、暗号化の別のレイヤーは決して痛いことはありません。 HTTPSトラフィックは、当然このハックの影響を受けませんでした。





クロスプラットフォーム（Windows、Max OS X、Linux、iOS） Mask / Caretoスパイウェアキャンペーン。



5位。 DDoS +標的型攻撃。 コードスペースをスマッシュ

ニュース 。



7000万人の顧客からのデータがアメリカの小売業者であるTargetから盗まれたとき、これは不快でしたが、店舗と商品はそのままでした。 ビジネスが100％ネットワーク化されている場合、標的型攻撃は一晩で完全に破壊する可能性があります。 これは、独自の共同開発およびバージョン追跡システムを販売したCode Spacesで今年6月に起こったこととまったく同じです。



同社のサーバーに対する最初のDDoS攻撃に続いてAmazon EC2コントロールパネルがハッキングされ、サービスの作成者が金銭を強要し始めました。 アクセスを取り戻す試みは失敗しました。クラッカーは制御を取り戻し、ほとんどすべてのデータを削除しました。 12時間以内に、会社は破壊されました。データを復元し、損失を回復すること、そして最も重要なこと-評判を回復することは不可能でした。



コードスペースの古いバージョンでは、データバックアップの信頼性に特別な注意が払われていました。 「単純なバックアップは、障害からの回復のための明確な計画がなければ意味がありません。実際にテストし、繰り返し機能することが実証されています。」 黄金の言葉！



4位。 うんち

ニュース 。



マルウェアだけでなく、脆弱性や特定の攻撃シナリオのために非標準の名前を見つけることは、今年のITセキュリティで流行の傾向になりました。 この場合、POODLEは、ダウングレードされたレガシー暗号化のパディングOracleの略です。 攻撃の本質：クライアントとサーバーに強制的にセキュアな接続を確立し、セキュアなプロトコル（TLS）からセキュアでない旧式（SSL 3.0、今年の到来を告げる）にダウングレードすること。 その結果、特定の条件下で、安全なトラフィックを傍受し、たとえばCookieを盗んでからセッションを傍受することが可能になります。 攻撃の条件は非常に限定的であるため、悪用の実際の事例は記録されていません。 ただし、10月中に、主要なブラウザーの開発者はSSLv3を完全に無効にすることでアップデートをリリースし、問題を解決しました。 2014年のすべての不快なニュースの中で、これは最もポジティブに見えます。彼らは穴を見つけ、すぐに穴を閉じました。



3位。 シェルショック

ニュース 。 背景 イベントの開発 。 よくある質問



$ env 'x =（）{：;}; エコーの脆弱性 '' BASH_FUNC_x（）=（）{：;}; エコーの脆弱性 'bash -c "エコーテスト"



クリエイティブネーミングのもう1つの犠牲者（ただし、ShellshockはCVE-2014-6271よりもおもしろいように聞こえます）、今回-Unixベースのオペレーティングシステムのユニバーサルコマンドシェルの重大なバグです。 OpenSSLのバグに続く2番目のケースは、「どのシステムがさらされているか」という質問に「はい、すべて」と答えることができ、実際にはあまり嘘をついていない場合です。 Shellshockは積極的に悪用され、脆弱なシステムの検索は完全に拡張され、影響を受けるサーバーの管理者は再び「すべてを修正し、何も壊さない方法」というゲームをプレイする機会を得ました。



ShellshockとHeartbleedの歴史に続いて、私たちはお客様から多くのフィードバックを受け取りました。特に、このような脆弱性で中小企業が経験する困難に注目したいと思いました。 大企業が脆弱なノードを検索して更新するための注目すべきリソースを割り当てる場合、小規模企業では多くの場合、1人のITスペシャリストがすべてに答えるか、状態に「管理者」がいません。 したがって、このような企業の所有者が尋ねる典型的な質問は、「bashbug（heartbleedなど）が私のビジネスをどれだけ脅かすか」です。



これは実際には重要な質問です。 長い間設定していたオフィスメールサーバーは動作しますか？ ファイルサーバー サードパーティ企業からレンタルしたクラウドインフラストラクチャはどうですか？ ネットワークルーター 他に何？ しかし、ベンダーによってリリースされたパッチが実際に穴を塞がないことが突然判明した場合はどうなりますか？ Bashの脆弱性は、ミッションクリティカルなシステムのオペレーターに多くの問題をもたらしましたが、アップグレードすることはできませんが、反対側には、突然、非友好的で混乱し、危険なIT環境に対処しなければならない小さな企業が数千社あります。



2位。 ハートブリード

ニュース 。 背景 結論



バグを説明する時間さえ無駄にしません。とにかくXKCDよりも優れています。







「よりクールなもの-HeartbleedまたはShellshock 」について多くの議論がありましたか？ 一方では、Bashの脆弱性は任意のコードの実行を招きますが、OpenSSLの穴はデータへのアクセスのみを許可します。 一方、Heartbleedの物語は著しく大きな関心を呼び起こしました。 おそらくポイントは、脆弱性に関するデータの公開時点での絶対的な不確実性です。 誰が影響を受けますか？ ハッキングされたのは誰ですか？ データとどのデータを盗むことができますか？ 被害者は誰ですか-ヤフーやオンラインバンキングでのメールですか？ さて、サーバーにパッチを適用しましたが、請負業者はこれを行いましたか？ パートナー？ データを信頼できますか？ 私はインターネットが壊れていると言ったようですか？ :)



1位。 PNG形式の画像メタデータ内の悪意のあるコードの隠蔽。

ニュース 。 Redditについての議論 。



あの...







これは実際に興味深いWeb攻撃方法です。 無害な画像をPNG形式で読み込み、そこからメタデータを抽出しますが、そこには悪意のあるコードが隠されています。 その結果、目に見えないiframeは、既に攻撃が行われている別のサイトへのリダイレクトとともに、感染したサイトへの訪問者にリダイレクトされます。 興味深いことに、悪意のあるコードを難読化するもう1つの方法は、どういうわけかセンセーションには十分ではありませんが、これは過去1年で最も多く訪問されたThreatpostの英語版に関する記事です。



どうして？ 上のリンクでRedditに関する議論に感謝しなければなりません。 さらに重要なことは、「PNG found zero day！111 AAAAA！」というスタイルの元のニュースレターの元の解釈です。 単純な画像を読み込むことで攻撃される可能性は、本当に気が遠くなるようです。 幸いなことに、今回は既に壊れたインターネットを完全に破ることができませんでした。



そのため、今年の最も人気のあるストーリーは、テクノロジーに関するものではなく、認識に関するものであることが判明しました。 このニュースで起こったことは、映画雑誌でも議論されているソニーピクチャーズエンターテインメントのハックと比較することができ、途中で技術的な詳細は完全に失われますが、ネットワークセキュリティ全般について考えるようになります。 サイバー攻撃が広まっているため、「もう1人」だけが注目を集めなくなり、目がぼやけて視界が落ちています。 最も興味深いのは、Sony Hack、Shellshockのような非常に終末論的なニュースであり、「1つの画像で全世界に感染する」だけです。 2014年にはたくさんありましたが、これは悪いことです。 これらの注目度の高いイベントの結果に基づいて、企業が重要なデータの保護に関する彼らの見解を再考することを願っています。 そしてそれは良いでしょう。