今週の情報セキュリティの世界は悲しいことが判明しました。 さまざまなバグ、行動、およびその他のおいしい研究の楽しいパーティーの後、脆弱なソフトウェアに新たに発見されたものを導入するという深刻な二日酔いがありました。 これは非常に重要なトピックですが、要点は退屈です。 Threatpost Webサイトの編集者が重要なニュースを選択して送信すると、3つの重要なニュースは穴を空けることに関するものであり、私の悲しみと切望が始まります。
いいえ、トピックは本当に重要です! 脆弱性を見つけることは困難ですが、何も壊さずに閉じることはさらに困難です。 パッチのリリースが現在、現在の四半期、または一般に原則として不可能である理由は、常に12あります。 しかし、問題を解決する必要があります。 今日のセキュリティニュースのコレクションには、脆弱性が未解決のままである方法について3つの異なるトピックがあります。 ルールを思い出してください。Threatpostニュースサイトの編集委員会は、3つの最も重要なニュースを毎週選択します。そこには、拡張された容赦ないコメントが追加されています。 シリーズのすべてのエピソードはここで見つけることができます 。
Androidの別の脆弱性、今回はGoogle Admin
ニュース 。 調査会社MWR。
何を見つけましたか?
脆弱性に関するニュースがバンドルされていることにすでに気付いていますか? 車をハッキングしましたか? 車にもう十数個の穴を見つけましょう。 Androidに関するニュースの背景は、同じパターンを中心に構築されています。 最初にStagefright 、次にいくつかの小さな穴、今度
閉じる方法
まず、独立した研究者がどのように情報を開示したかを伝える価値があります。 この穴は3月に発見され、その後、その情報がGoogleに送信されました。 5か月後、3度目の研究者はベンダーに「お元気ですか」と尋ね、脆弱性が解決されていないことを発見しました。 8月13日に情報が公開され、8月17日にGoogleがパッチをリリースしました。
ちなみに、Googleには独自の研究チームがあり、独自のソフトウェアだけでなく脆弱性も発見しています。 Zeroプロジェクトは90日間休止してから情報を開示しますが、理論上は同じ3か月間、Googleがパッチを当てる必要があります。 しかし、Google Adminの場合、まず何かがおかしくなり、次にAndroid向けパッチのリリースがすべての脆弱なデバイスの問題を解決するわけではないことを知っています。 毎月のセキュリティ更新プログラムを言いますか? そして、あなたが追加した場合、パッチを開発するために6ヶ月? 行くぞ
SCADA Schneider Electricの非公開の脆弱性
ニュース 。 ICS-CERTアドバイザリ 。
重要なインフラストラクチャの世界へようこそ! 入って、座って、大きな赤いスイッチに触れないでください。また、突き出ているワイヤをはがさないでください。 はい、彼らはそのように固執します。 これは正常です。 いつもそうです。 しかし、それをはがすと、すべてが悪くなります。 SCADAシステム(または、私たちの意見では、プロセス制御システム)は、住宅のボイラーハウスから原子力発電所まで、重要な重要なシステムを監視することが多い特別なインフラストラクチャです。 通常、このようなことをオフにすることはできず、変更するパラメーターがいくつかあります。一般的には、それらに手を触れないほうがよいでしょう。 このトピックに関するプログラマティック記事を読むことをお勧めします。 それまでの間、私たちは、その独自性にもかかわらず、通常のWindowsでインフラストラクチャを管理するために通常のコンピューターが使用されることがあるという事実に焦点を当てています。 すべてのコンピューターとサーバーが5年に1回程度変化する典型的なオフィスとは異なり、自動車工場のロボットや、非常に危険な化学物質を別の化学物質から分離する遠心分離機は何十年も使用できます。
何を見つけましたか?
そして、シュナイダーエレクトリックが製造し、 Modicon M340 PLC Station P34 CPUというロマンチックな名前を持つ類似のシステムで、(このシステムが管理するものは何でも)リモートコントロールを可能にする脆弱性を含む多くの脆弱性が発見されました。 その中には、そのようなデバイスの慢性的な病気の例や、さまざまなルーターやモノのインターネットからの物、ハードコードされた資格情報などがありました。 明らかな理由で、SCADAシステムに正確にハードコードされたものは明らかにされていませんが、通常、メンテナンスを容易にするためにベンダーが残すデフォルトのユーザー名/パスワードのペアです。 または、コードからテストログインを削除するのを忘れます。 または同様のことが起こります。
どのように閉じられましたか?
まだです。 DEF CONでの研究者Aditya Sudaのプレゼンテーションから2週間以上が経過しましたが、ベンダーからのパッチはまだありません。 そのようなデバイスのメーカーも理解できます:脆弱なソフトウェアを更新する困難なタスクは、原則として、プロセス制御システムによって管理される単純な機器は所有者に多大な損失をもたらし、時には不可能であるという事実によって複雑になっています。 そして、パッチを展開するプロセスを停止するのにどれくらい時間がかかりますか? そして、それは間違いなく動作しますか? 影響を受けやすいデバイスの使用に関するすべての可能な機能が考慮されていますか? 一般的に、非常に難しいトピックで、穴にパッチを当てる必要性を否定するものではありません。 重要なインフラストラクチャをインターネットから切断したり、ファイアウォールで閉じたりしても何も保存されないことがすでに何度も示されています。
開発者は、コード内の脆弱性に関する情報を備えたキンアウトに耳を傾けます。
Mac OS Xの非公開の脆弱性
ニュース 。
責任ある開示のトピックを再度取り上げます。 Googleの脆弱性の場合、研究者は情報を公開するまで約5か月待機しましたが、Google自体は最大90日間を想定しています。 そして、どれくらい待たなければなりませんか? 開発者に脆弱性を解決する時間を教えてください。 ベンダーが公開期限を延期するように延々と要求する可能性はありますか?また、公開だけがパッチをリリースするために十分に彼を動機付けるでしょうか? 一般に、ここには標準的な待機期間はありませんが、ソフトウェア開発者に事前に通知せずに脆弱性の詳細を開示することは、何らかの形で完全に間違っていることにだれもが同意します。
何を見つけましたか?
そして、これはベンダーに通知されたかどうかの例です。 短い間私に通知されたので、彼は反応することができませんでした。 18歳のイタリア人研究者Luca Todescoは、Mac OS X YosemiteおよびMavericks(10.9.5-10.10.5)の深刻な脆弱性に関する情報を投稿し、攻撃されたマシンのルート権限を取得できるようにしました。 リモートではなく、ユーザーがエクスプロイトをダウンロードして実行するように説得する必要がありますが、実践が示すように、通常は説得することが判明します。 添付されているのは、概念実証です。一般的に、使用してください。
どのように閉じられましたか?
まだです。 研究者によると、Appleで繰り返されるリクエストに誰も応答しなかったという。 研究者自身が彼の出版物を新しい脱獄方法に関する情報の開示と比較しました-彼らは言う、それは大丈夫です。
ジェイルブレイクは、自分が何をしているのかを正確に知っている人が通常行っているようなものなので、これはかなり物議を醸す比較です。 iPhoneの所有者にジェイルブレイクをさせたくない場合は、強制することはできません。 Todesco脆弱性-オプションが可能です。 驚くことではないが、研究者たちは批判した 。
この脆弱性はMac OS X El Capitanの新しいバージョンには影響しないことが知られています。 パッチを待っています。
他に何が起こった:
MicrosoftはInternet Explorer の穴を塞いだ(少なくとも、誰かが何かを閉じた)。 緊急の帯域外パッチ、1か月に2回目。
以前に盗まれたアシュリーマディソンの出会い系サイトからのユーザーデータは、現在、最終的にネットワークに漏洩しています。
カスペルスキーは、日本で多くの犠牲者を出したブルーシロアリの大規模なスパイ活動を明らかにしました。 少なくとも2年以上働いているサイバースパイが、ハッキングチームから盗まれたエクスプロイトに到達することができた今年の夏に大幅に強化されたことは注目に値します。
古物:
「正義」
非常に危険です。DOS43h、4Bh、3Dh、56h関数によってアクセスされると、COMファイルに感染します。 ファイルの終わりに書き込まれ、先頭の5バイトを変更します(NOP; NOP; JMP Loc_Virus)。 COMMAND.COMは、Lehighウイルスアルゴリズムに感染しています。 ディスクに記録された情報を、異なる番号のセクターに定期的に送信します。 「すべての正義」というテキストが含まれています。 int 13hとint 21hをフックします。
Eugene Kaspersky著の本「MS-DOSのコンピューターウイルス」からの引用。 1992年。 72ページ
免責事項:このコラムは、著者の個人的な意見のみを反映しています。 カスペルスキーの位置と一致する場合もあれば、一致しない場合もあります。 ここは幸運です。