セキュリティウィーク36：ジェイルブレイク強盗、RC4への別れ、ルーターの多孔性

コンピューターが最終的に脳に直接プラグインすることを学ぶと、私たちの生活はさらに興味深いものになります。 SMSの代わりに、メントグラムを受け取ります。それらは、内なる声でほのめかされています。 おもしろい考えだと思った-ちょっとした脳の動きを友達と共有しよう！ 妻が店で買おうとしたものを思い出してください。 VATなしでわずか2.99ドル。 最初のバイオディスクリートインターフェイスの不完全な技術は、毎分テラバイトのデータをコンピューター（スマートフォン、スクリーンなしのみ）に転送し、将来の強力なプロセッサーに、電気パルスのノイズから意味のある粒子をキャッチするタスクを残します。



要するに、最新のiPhone 164は私たちのすべてを完全に知っているでしょう。 Googleは34のブランド変更と8のリストラを生き延び、このデータを保存し、地球の表面の2％以上を占めるデータセンターでさらに処理します。 そして、そのとき初めて、技術の驚くべき進歩を遂げて、彼らはこのデータを保護する方法について考え始めるでしょう。 バンコクの闇市場で疑うことを知らない市民と女性のエロティックな夢のコレクションが初めて登場した後。 申請時に銀行がローン受取人の心を読んでいたスキャンダルの後のみ。 そして、あなたは真剣に理解する必要があります-どんな種類のデータを収集していますか？ 保管方法



しかし、これはすべて後で行われます。 興味深いことに、今、誰かが所有者が携帯電話からのジャイロ測定値のアーカイブの所有者をどのくらい配っているかについて考えていますか？ セキュリティ研究は常に技術が市場に登場した後に行われますが、技術メーカーはセキュリティについてほとんど考えません。 今週の重要な情報セキュリティニュースの今日のダイジェスト-何百万人もの人々が長い間使用してきた今日のソフトウェアとデバイスの報告会。 ルールを思い出してください。Threatpostニュースサイトの編集委員会は、3つの最も重要なニュースを毎週選択します。そこには、拡張された容赦ないコメントが追加されています。 シリーズのすべてのエピソードはここで見つけることができます 。



写真の頭に5ボルトと12ボルトが供給されるのはなぜですか？ わかんない！



ジェイルブレイクされたiPhoneからデータを盗むトロイの木馬

ニュース 。 パロアルトネットワークスによる研究 。



脆弱性や盗難のすべてのレポートを簡単な言葉で取り上げて再販できるわけではありません。 これは可能です。 中国では、Appleのサーバーと統合し、iTunes Storeからパスワードを盗むiPhoneアプリを発見しました。 サイドサインで発見：アカウントからのお金の窃盗に関するユーザーの大量の苦情-すべてのAppleユーザーのカードは堅い結び目でアカウントに結び付けられており、通常「パスワード」以外の「鳥」の支払いには何も必要ありません。



かっこいい？ そうでもない。 ジェイルブレイクされたデバイスの所有者のみが攻撃されました。 WeipTechと呼ぶように頼んだ中国の独立した研究者は、犯罪者のC＆Cサーバーを誤って破り、「ユーザー名、パスワード、デバイスGUID」の形式で22万5,000人を超えるユーザーがパブリックドメインにいることに気付きました（ジェイルブレイクの支持者が非常に多いことは知りませんでした）。 悪意のあるアプリケーションは、代替のCydiaストアの海賊貨物船を介して配信され、中間者技術を使用してデバイスとApple間の通信に組み込まれ、盗まれたものをサーバーに送信します。 Cherry on the cake：パスワードを暗号化するためのキーは静的で、フレーズ「mischa07」を使用します。









Mischa07はユーザーパスワードを盗みます



この「ミシャ」がキーレイダーの攻撃で真剣に稼ぐことができたかどうかは不明であり、それはポイントではありません。 このニュースの主なものはこれです：セキュリティの面でジェイルブレイクをしたiPhoneはAndroidよりも悪いです。 iOSの（非常に強力な）保護を破った場合、それ以上のチェックはありませんか？ あなたがしたいことをしますか？ ちなみに、強力なファイアウォール、物理的な保護、すべてがインターネットから切断されているため、ハエが周辺を飛び回ることはありません。 内部-4番目の切り株にあり、Windows XPが2003年以降にパッチされていないコンピューター。 そして、境界線を回避できる場合はどうなりますか？ 実際、iOSのコンテキストでは、同じ問題が発生します。単純で有効な大規模なルートエクスプロイトが突然表示された場合、どうなりますか？ ベンダーにはプランBがありますか？ それとも、そのような状況でAndroidが大きな利点を持っていることが突然判明するのは、すべてが壊れる可能性があることが長い間明らかになっており、開発がそれに応じて行われているからですか？



Google、Mozilla、および（以前の）Microsoftは2016年にRC4に別れを告げます

ニュース 。



前のシリーズ （GitHubでのman-on-the-side DDoS攻撃に関連して）では、HTTPSを使用することは、Webサービスのユーザーと所有者の両方に適しているという事実に焦点を当てました。 そして、これはそうです、唯一の問題は、すべてのHTTPS実装が同等に役立つわけではなく、古代の暗号化方法を使用しているものは有害でさえあるということです。 例は、 POODLE攻撃でのSSLv3、および一般にRC4暗号を使用するすべてです。 SSLv3が最近18周年を迎え、アルコールを合法的に購入できるようになった場合、RC4のルーツは前世紀の80年代にあります。 Webに関しては、RC4を使用した接続が妥協した接続を保証すると今のところ言うことはできません。 以前、インターネットエンジニアリングタスクフォースは 、RC4に対する理論的な攻撃は「実行される寸前」であることを指摘しました。



実際、ここに最近の研究の例があります。サイトに接続するときに通常の暗号からRC4にロールバックすると、送信されたCookieを解読できます（セッションをハイジャックすることを意味します）。 これを行うには、いくつかのCookieをインターセプトし、出力される内容を大まかに理解する必要があります。通常よりもわずかに高い成功確率でブルートフォースです。 たぶん？ はい、ただし予約あり。 実際に使用しますか？ しかし、誰が知っていますか？ リークでは、SnowdenはセキュリティサービスがRC4を高い信頼性で破ることができると示唆しました。











一般に、このニュースは好意的です。潜在的に脆弱な暗号化アルゴリズムは最後まで破られていません（少なくともバルクではありません）が、すぐに完全にブロックされます。 はい、現在ではほとんど使用されていません。Chromeの場合、すべての接続の0.13％です（絶対的に言えば、まだ多くのdofigです ）。 RC4の葬儀は、1月26日（Firefox 44）および2月末（Chrome）まで公式に予定されています。 マイクロソフトはまた、Internet ExplorerとMicrosoft Edgeについて、RC4の接続を年の初めに禁止する予定です。理由は、「RC4を使用したTLS 1.0でのフォールバック時に、ウェブマスターエラーと中間者攻撃を区別できないこと」です。



私は、懐疑論の低下で楽観主義を弱めることはできません。 このようなアップグレードの被害者は、通常、曲がってサイトを必要とする人がほとんどいないか、何かを変更することが困難なタイムクリティカルなWebサービスです。 2月には、ブラウザを更新した後、ユーザーがセキュリティで保護されたインターネットバンクにアクセスできないことについて、フォーラムで激しい議論が行われる可能性があります。 見てみましょう。



Belkin N600ルーターの脆弱性

ニュース 。 CERTアドバイザリー 。



私はルーターの脆弱性に関するニュースが本当に好きです。 私たちが毎日使用するコンピューター、スマートフォン、その他のデバイスとは異なり、ルーターは通常、隅のどこかにほこりを集めます。特に、ルーターが良好で故障なく動作する場合、長年無視されています。 同時に、正直に言うと、このブラックボックスで実際に何が起こっているのか誰にもわかりません。 OpenWRTに基づいてカスタムファームウェアを個人的にロールした場合でも。 特に、技術者ではないが、プロバイダーがルーターをインストールして構成している場合。 同時に、ルーターにはすべてのデータへのキーが含まれています-ホームファイル共有に行きたい場合、必要に応じて-トラフィックを傍受し、インターネットバンキングページを置き換え、Google検索結果に広告を掲載します。 単一の脆弱性、または多くの場合、脆弱性ではなく、メーカーの湾曲した構成を介して一度だけアクセスすれば十分です。



投稿の最後に、ルーターのファームウェアの更新の規則性に関する調査を追加しました。 そして、私自身も、新しいアップデートがリリースされるとすぐに、ルーターのファームウェアを頻繁にアップデートすると答えたいのですが、そうではありません。 最良の場合は、6か月に1回です。これは、ルーターのWebインターフェイスにリマインダーが表示されるためです。 頻繁に以前のルーターを更新しましたが、それは、一定のフリーズを無効にしようとしたためです。 また、しばらくの間、私のルーターはリモートアクセスを許可するこの脆弱性に個人的にさらされていました。











それでは、Belkinルーターで何が起こったのでしょうか？ 彼らはすぐに、セキュリティに何らかの影響を与える5つの脆弱性を発見しました。 例：

• DNSに照会するときの予測可能なトランザクションID。理論上は、たとえばファームウェア更新サーバーを要求するときなど、応答として別のサーバーを代用できます。 それほど怖くない。
• 同じファームウェア更新要求などの重要な操作のデフォルトHTTP。 怖い。
• Webインターフェイスのデフォルトパスワードはありません。 既にローカルネットワーク内にあるものの、何でも変更できます。 恐怖の平均レベル。
• Webインターフェースにアクセスする際のユーザーパスワード認証のバイパス。 肝心なのは、 ブラウザがログインしているかどうかをルーターに伝え、逆もまた同様です。 ルータに送信される情報のパラメータのペアの値を置き換えます。パスワードは省略できます。 76％怖い。
• CSRF 準備されたリンクをクリックするようにユーザーに強制する場合、ルーターの設定で何かをリモートで変更できます。 Webインターフェイスのパスワードが設定されていない場合、これは特に簡単です。 恐ろしいもう恐怖。

さて、さて、あまり一般的ではないルーターにたくさんの穴を見つけました。 問題は、ルーターの脆弱性を探している人があまり多くないことです。また、Belkinで脆弱性を発見したが、他のメーカーでは発見できなかったという事実は、他のメーカーの信頼性が高いという意味ではありません。 彼の手がまだ彼に届いていないというだけです。 このニュースの選択により 、この分野のすべてが非常に悪いことが明らかになります。 結論は？ ローカルネットワークを少なくとも以下の手段で保護する必要があります：Webインターフェースのパスワード、WEPを使用したWiFiなし、WPSおよびFTPサーバーやtelnet / SSHアクセスなどの未​​使用機能を無効にします。特に外部から。



他に何が起こった：

米国は 、サイバースパイに対する中国に対する制裁を計画しています。 今週の最も人気のあるニュースの1つですが、特異性があります。サイバーセキュリティに影響を与えることはありません。 堅実なポリシー。



ルーターは最も危険なデバイスではありません。 ベビーモニターやその他のユーザーフレンドリーな監視装置はさらに悪いです。 暗号化、承認、その他のトラブルの欠如。



Pages Managerアプリケーションを使用して、Facebookの所有者からグループを選択する方法を見つけました。 脆弱性は閉じられ、研究者は約束されたバグ報奨金を受け取りました。



古物：

家族「アンドリューシュカ」



非常に危険な常駐「ゴースト」ウイルス。 COMおよびEXEファイルは、COMMAND.COMを除き、感染ファイルの開始時（ディレクトリ内での検索）およびそれらのTSRコピー（オープン、実行、名前変更など）から影響を受けます。 Andryushka-3536は、感染するとEXEファイルをCOM形式に変換します（VASCINAウイルスを参照）。 ウイルスはファイルの中央に導入されますが、ウイルスが記録されている感染ファイルの部分は暗号化され、感染ファイルの末尾に追加されます。



ディスクのブートセクターにカウンターを編成し、その値に応じて、C：ドライブ上のいくつかのセクターを破壊する可能性があります。 同時に、メロディを再生してテキストを表示します。











「メモリ不足」というテキストも含まれています。 割り込みハンドラーを使用するのは非常に困難です。int25hハンドラーの一部を本体に保存し、コードを空き領域に書き込みます（int 21hを呼び出します）。 int 25hを呼び出すと、int 25hハンドラーが復元されます。



Eugene Kaspersky著の本「MS-DOSのコンピューターウイルス」からの引用。 1992年。 23ページ



免責事項：このコラムは、著者の個人的な意見のみを反映しています。 カスペルスキーの位置と一致する場合もあれば、一致しない場合もあります。 ここは幸運です。