〽️ 🏇🏼 🎺 カスタムセキュリティニューストップ：1月 👗 💥 👋🏽

みなさんこんにちは！ 2014年のニュースダイジェストが成功した後、このコラムを定期的に、または毎月作成することにしました。今日は1月の最も重要な情報セキュリティニュースです。ニュースを選択する方法が少し変更されました。私たちは、 Threatpost Webサイトから最も訪問されたニュースを引き続き取得し、そのような注目を集めた理由を理解しようとします。しかし、毎月のニュースダイジェストには5つあります。 Threatpostでは、情報セキュリティ業界からのすべてのニュースを収集しています。ラボ独自の研究は、 Securelist Webサイトで公開されています。

要約：glibcの穴と、物理学者が歌詞、北朝鮮のブラウザー、課金キーロガーとキーボードホール、暗号時計一般、特にソーシャルエンジニアリングでWiFiをハッキングすることと物理学者が友達ではない理由。

5. Wifiphisher：ソーシャルエンジニアリングの厚いレイヤーでWiFiをハッキングする

ニュース。 Stackexchangeのテーマスレッド。3年前に問題が定式化されました。

前のダイジェストでは、インターネットが壊れているという事実について話しました。そのため、インターネット上、または一般的にコンピューターネットワーク内で破損しているすべての中で、ワイヤレスネットワークが最も破損しています。 WEPプロトコルの神聖なシンプルさを一貫して経験し、保護されていない公衆無線ネットワークが悪いことを繰り返し確信してきたので、WPSと呼ばれる底なしのセキュリティホールを調査しました。現在、ルーターのファームウェアでバグの津波が発生しています。ファームウェアでデフォルトのパスワード（または同様のホール）を見つけ、次に曲がった NATなどを見つけます。つまり、ここではソーシャルエンジニアリングだけが欠けていました。

十分ではありません-入手してください。すべてが非常に単純です。被害者の受信エリアにまったく同じSSIDでアクセスポイントを作成するだけです。被害者が接続しようとすると、被害者にその実際のアクセスポイントのパスワードを要求し、慎重に保存します。それだけです。MITM攻撃を実行するためのアクセスと能力があります。いいえ、すべてではありません。まず、被害者のコンピューターまたはスマートフォンを説得して、私たちのポイントに接続してみてください。そして、認証解除パケットでエーテルを詰まらせることでこれを行います：それらは正当なクライアントの切断につながり、その後偽のアクセスポイントに接続できます。

Stackexchange に関する別の説明では、問題が長い間知られていること、および（deauthパケットの観点から）問題が適切に処理されていないか、まったく処理されていないことが明らかになりました。では、ニュースは何ですか？そして、指定された方法でパスワードを盗むプロセスが自動化され、対応するWifiphisherユーティリティがGithubに投稿されたという事実。道徳性：誰かまたは何かが（どこにいても）パスワードを要求するとき、入る前によく考えてください。道徳2：中間者攻撃から防御することは不可能であり、その行為の可能性を排除します。少なくともこのインターネット上では、除外することはできません。

ところで、マリオットホテルチェーンは一度に認証解除パッケージに手を出し、ゲストが持ち込んだワイヤレスアクセスポイントをブロックするためにそれらを使用しました。そして、彼女はこれについて米国のRoskomnadzorからまともな罰金を受け取った。

4.暗号ロッカー。 隠された脅威は明確な脅威とどのように違いますか？

ニュース。もう一つのニュース。種としての暗号時計の詳細な研究。

企業に最も頻繁に直面するサイバー脅威の種類をインタビューすると、スパムが最初に来る可能性が高いとすでに書いています。しかし、スパムはそのようなものであり、その損害は明らかではありません。彼はそうですが、数えるのは難しいです。計算が難しい場合は、スパムと戦うためのコストがどれほど合理的かを評価することも容易ではありません。さらに、スパム対策技術は十分に開発され、配布され、アクセス可能です。

暗号ロッカーはまったく別の話です。スパムとは異なり、それらからの損害を評価するのは簡単です。あなたの会社は攻撃され、重要なデータによって暗号化され、アクセスできなくなり、身代金が必要になります。あなたはお金を失っています。あなたは時間を無駄にしている。さらに、1つのインシデントで会社を完全に殺す可能性があります。例を次に示します。暗号ロッカーから身を守る必要があることは明らかです。

犯罪の観点から見ると、暗号ロッカーは安易な生活を送っています。これはボットネットではありません。ボットネットは最初に構築し、次に他の誰かに販売する必要があります。したがって、残念ながら、暗号ロッカーは積極的に開発、増殖、拡散しています。

実際、ニュースは何ですか？はい、特別なことは何もありません:)昨年の夏、暗号時計の開発の主な傾向を説明しました（そして、それらの研究を続けています）。 MicrosoftやCiscoなど、ほとんどすべてのセキュリティベンダーがこれを行っています。誰にとっても十分な仕事がたくさんあります。たとえば、違法行為を隠す現代の技術はすべて、ランサムウェアに関与しています。ビットコインによる支払い、TorおよびI2Pを介した通信、研究者からの変装です。

しかし、それはポイントではありません。最も興味深いのは、被害者のコンピューターに侵入するためのテクノロジーです。 2月のシスコの調査では、Cryptowallバリアントのいずれかの作成者がエクスプロイトキットに賭けていることが示されました。ビジネスにとって、これは、会社のインフラストラクチャ内の弱いリンクが脆弱なソフトウェアであることを意味します。世紀の幕開けではありませんが、このトピックは非常に重要です。暗号ロッカーに関するほぼすべてのニュースが非常に興味深いという事実は、これを再び証明しています。

3.組み込みのキーロガーによるUSB充電。

ニュース。

ワイヤレス通信を制御することがいかに難しいかという別の話は、Microsoftワイヤレスキーボードのセキュリティを分析することを決めた3人の研究者の研究から始まりました。これらのキーボードのマーケティング資料のどこかに、おそらくデバイスとUSBレシーバー間の情報の流れは安全に暗号化されていると書かれています。はい。ただし、信頼性について質問があります。

要するに、暗号化された文字のキーはキーボードのMACアドレスです。これは、最初にスパイされ、次にデータ転送を担当するチップの機能を使用してリモートで盗むことができます（そしてoopsを含むさまざまなデバイスで使用されます）医療）。盗むことはできません。すべてのキーボードのMACアドレスの最初のバイトは同じであり、ブルートフォースを大幅に促進します。

定期的にキーストロークを傍受するのに十分なほどキーボードに近づく方法を理解することは残っています。そして、ここで、研究者のサミ・カムカーは独自の概念実証を提案しました。スマートフォンとタブレットの通常のUSB充電を使用し、適切にステッチされたArduinoを挿入すると、電動トロイの木馬が手に入ります。ちなみに、充電が接続されていなくても機能します。小さなバッテリーも適合します。デバイスのコストはたったの10ドルであり、これが（今のところ）概念に過ぎないのは良いことです。

マイクロソフトはこの調査については一切コメントせず、むしろ「問題を調査している」と述べた。そして、問題は興味深いです。それはフラッシュによって解決されることを疑います（そしてそれは一般的に可能です）。デバイスのみを交換してください。興味深いことに、そのような「不治の」バグがキーボードで40ドルではなく、車で70,000ドルで見つかった場合はどうでしょうか。しかし、気が散りました。

2.北朝鮮のブラウザでバックドアが見つかりました

ニュース。

ソニーピクチャーズエンターテインメントのハッキングストーリーに感銘を受けた研究者のロバートハンセンは、北朝鮮のインターネットの機能を慎重に研究することにしました。おそらく、北朝鮮（おそらく属性は大きな問題です）が攻撃のイニシエーターであり、おそらく彼らがそのリーダーについて2014年の最も愚かなコメディーを撃ったという事実を攻撃していることを思い出させてください。

北朝鮮は、PulginnböölSaönjöngcheheまたは単に「Red Star」として知られる独自のLinuxベースのオペレーティングシステムを使用しています。ブラウザは、Nenara（「私の国」）という名前のFirefoxのフォークです。ハンセンは、ブラウザを調べると、起動するたびに、孤立した北朝鮮のネットワークのローカルIPアドレスをノックすることがわかりました。さらに、会社のネットワークが通常構築されると、全国のネットワーク全体が編成されます。内部アドレス、外界からのほぼ完全な分離、およびプロキシを介した通信のみです。おそらく、暗号化されたものを含むすべてのトラフィックを追跡する機能があります。ブラウザは単一の証明書を受け入れます。状態証明書は、おそらくある種のロマンチックな名前も持っています。

つまり、単一のプロバイダーを持つ国のユーザーを追跡するために必要なすべてのツールは、使用可能な唯一のOSに既に組み込まれています。そして、それは北朝鮮で起こります。わあ！速報！

もちろん、このニュースの人気は、ソニーピクチャーズエンターテインメントへの攻撃と、北朝鮮のこの巨大なハックへの関与にのみ関連しています。しかし、それだけではありません。ロバート・ハンセンは、インターネットだけでなく、一般的なすべてを禁止および制限する方法を実際に知っている人によって開発されたいくつかのトリックを明らかにしました。特にインターネット。読んで！

1. GLIBCの脆弱性またはパッチを適用することが重要である理由

ニュース。 CVEレコード。 Red Hatからの助言。

叙情的な余談。 昨年のハイライトの1つは、現在Heartbleedとして知られているOpenSSLの穴でした。イベントの発展を観察することは非常に興味深いことでした。絶対に技術的なトピックが最初に技術コミュニティや出版物で議論され、それが完全に非技術的なメディアに注がれる方法です。無駄ではありません！この問題は、ビジネス所有者、管理者、開発者、ユーザーなど、すべての人に本当に影響を与えました。一般的に、膨大な数の人と会社。また、技術者以外の人（たとえば、会社の経営者や経営者）に、簡単で理解しやすい方法で説明する必要がありました。問題は何で、今何をすべきか？

そして、あなたはこの非技術者に来て、次のようなことを言います：Heartbleedは重要です。なぜなら、穴が検出されたOpenSSLはどこでも使われているからです。あなたのサイトは脆弱であるかもしれません、あなたのインフラストラクチャは脆弱であるかもしれません、ヤフーのあなたのプライベートメールでさえ脆弱かもしれません。「脆弱」とはどういう意味ですか？彼らはあなたのパスワードとメールを盗むことができます。サイトに感染する可能性があります。機密データを盗む可能性があります。どうするこれはこの規模の最初の穴でも最後の穴でもないため、すべてにパッチを当て、すべてをチェックし、パスワードを変更し、インフラストラクチャ保護を強化します。

そして、ヒューマニストの人はそれに反応して浸透し、理解し、言います：あなたはおそらくどこにいたのですか？アラームを鳴らしてみませんか？タイムズ紙とプラウダ紙に広告を掲載しませんでしたか？そしてほとんどの場合、はい、彼らは警告し、議論し、調査したことがわかります。しかし、彼自身の技術的なスタイルで。真剣に：特定の脆弱性の規模を評価するには、実際に防御ホールとは何かを理解し、攻撃シナリオが何であるかを知り、潜在的な損害（盗難される可能性のあるものと規模）を評価できる必要があります。そして、これらは非常に異なるタスクであり、原則として、異なる専門家がそれらに従事しており、たとえ全員が努力を組み合わせても、通常は幅広い聴衆に問題の本質を説明する時間を見つけられません。

したがって、非技術者にとっては、Heartbleedのような問題はどこからともなく発生することがわかります。

そのため、GNU Cライブラリの穴は「技術段階」にあります。つまり、彼らは脆弱性を発見し、それが実際にセキュリティに影響することを発見し、さらにいくつかの攻撃シナリオを提案しました。しかし、それが実際のインフラストラクチャで実際にどのように変わる可能性があり、どのような損害が発生する可能性があるのかは、まだ明らかではありません。一般的に、準備ができていない人には、次のような脆弱性の説明が表示されます。

GLIBCで何が起こったのかをできるだけ簡単に説明しようとします。 私はすぐに言わなければなりません：私はプログラマーではありません。 私の仕事は、複雑なことを十分に幅広い聴衆に説明することです。 Habrは、GLIBCを使用する際の微妙な違いを理解する必要がある場所ではないことは明らかです。 下のテキストについてのコメントをお待ちしています。 「説明しやすい」タスクをどのように解決しますか？ 別の言い方をしますか？ すべてを正しく説明しましたか？ :)マーケティング担当者はこのようなシンプルなツールを使用しています。重要な考えを3回作成します。 そして、状況に応じて、そのうちの1つを使用します。 だから私はそのようにしてみます。

ショートバージョン：

コンピューターおよびサーバー上のソフトウェアを定期的に更新する必要があります。これにより、セキュリティが向上します。最近、Linuxに重大なホールが発見されました。Linuxを使用している場合は、パッチを適用する必要もあります。

もう少し：

GLIBCの脆弱性は、ほぼすべてのLinuxベースのシステムに影響し、理論的には任意のコードの実行を許可するため、非常に危険です。現実的で実際に脅威となる攻撃シナリオはありませんが、これは将来それらが出現することを意味するものではありません。したがって、ソフトウェアを定期的に更新する必要があります。

そして非常に長いバージョン：

GLIBCは、すべてのLinuxベースのオペレーティングシステム用の標準Cライブラリです。これには、画面に何かを表示したり、アプリケーションにメモリ領域を割り当てたりするなど、標準的なアクションを実行する多数のプログラムが含まれています。つまり、Linux用のプログラムを作成する人が使用します。各タスクごとに独自のコードを作成する代わりに、GNU Cライブラリから必要なプログラムを「取得」します。したがって、開発者は時間を大幅に節約し、一般的な問題を解決するための標準化されたアプローチを提供します。

つまり、まず、GLIBCが膨大な数のプログラムに影響を与えることを理解する必要があります。ライブラリに格納されているコードにエラーがある場合、このコードを使用するプログラムのパフォーマンスに影響を与える可能性があります。コードに脆弱性がある場合、それを使用するプログラムも潜在的に脆弱になります。え？

さらに進みます。この脆弱性は、gethostbyname関数ファミリで発見されました。これらは、1つの簡単なタスクを実行するGLIBCコレクションのこのような小さなプログラムです。出力でサイト名（www.kaspersky.com）を受信すると、123.123.123.123という形式のIPアドレスが提供されます。プログラムでこのような操作を実行する必要がある場合（およびこれは、ネットワークで動作するほとんどすべてのプログラムに必要です）、この機能を使用します。

問題は、関数が入力で与えられたものを十分にチェックしないことです。これが通常起こるように、プログラムは入力でデータを受け取り、このビジネスのために特別に割り当てられた特定のサイズのメモリ領域にそれを書きたいと思っています。また、データがこの同じ領域に収まるかどうかはまったくチェックしません。なに？データは指定された領域外に書き込まれます。なぜこれが悪いのですか？まあ、最初に、同じまたは別のプログラムの他のデータが目的のメモリ領域の外側に配置され、後者が動作を停止する場合があります。最良の場合。最悪の場合、実行する必要があるコードの代わりにデータが書き込まれます。そして、コードの一部を「漏れやすい」プログラムに送り込み、それをあるべき場所にあるように書き留めることができた場合、コンピューターに何らかのプログラム（より正確には、任意のコード）を実行することができます。

はい、私はこの写真が本当に好きです:)

そこで、問題のステートメントを決定しました。攻撃シナリオは何ですか？ Qualysの研究者は、Eximのメールプログラムがgethostbyname関数にアクセスするときに、この脆弱性を使用して任意のコードを実行する方法を示しました。したがって、理論的にはEximを使用して会社のメールサーバーを攻撃し、そのサーバー上で任意のコードを実行できます。会社のメールを盗んだり、重要なドキュメントにアクセスしたり、何らかの形で本当の損害を与えたりすることはできますか？ 理論的にはできます。しかし、すべての微妙な点や予約（ここでは言及しません）を考えると、脆弱性を使用して現実世界のデータを盗む危険性をまだ評価することはできません。

そして、これはGLIBC脆弱性とHeartbleedの違いです。そこには明確な脅威がありました。この脅威は理論上のものです。脆弱性については、多くの重要な注意事項を省略しました：gethostbyname関数自体はすでに古くなっており、バッファーオーバーフロー状況を作成するための条件は非常に具体的であり、この関数を使用するプログラムの脆弱性を「試し」始めると、すべてが複雑になります。

しかし、 今のところ 。誰か（そして、サイバー犯罪者ではなく研究者の場合）は、この脆弱性を使用して多数のLinuxサーバーを迅速かつ簡単に破壊する方法を見つける可能性があります。そして、そのときだけ、フォーブス誌、新聞ライフは脆弱性について書き、チャンネル1のプロットを削除します。誰もが、そのように、2000年以降に穴が存在し、誰も気づいていないと言うでしょう。しかし、手遅れになります。したがって、結論：パッチは重要です。また、直接的な危険がなくても、自分のサーバーで発見された脆弱性を閉じることが重要です。

カスタムセキュリティニューストップ：1月

More articles: