セキュリティウィーク41：研究の検閲、Outlook Web Accessのハッキング、ジョイントでのデータ損失

今日はダイジェストの特別な企業版であり、ROI、EBITDA、TCO、RAS、CRM、SLA、NDA、GAAPなどについて話します。 しかし、いや、いつものように、今週の最も重要なセキュリティニュースについて話しましょう。 3つすべてが何らかの形で企業のセキュリティに関係していることがわかりました。それらは、企業がどのようにクラッキングするか、データがどのように漏洩するか、ビジネスがどのようにそれに反応するかを示しています。 「ユーザー」セキュリティと企業セキュリティの主な違いは何ですか？ 第一に、比較的単純な保護ソリューションまたは方法がユーザーに利用可能である場合、インフラストラクチャがはるかに複雑であるという理由だけで、ビジネス向けの単純なソリューションはありません。 第二に、会社を効果的に保護するためには、洗練された技術だけでなく、特定の組織上の決定も必要です。



一般的なビジネスセキュリティについてはどうですか？ よく言ってみましょう、あまり良くありません。 たとえば、ガートナーは 、3年以内にIT予算の最大30％がセキュリティに費やされ、企業の一般的な「キープアンドストップ」アプローチは時代遅れになると考えています。 つまり、現在、典型的な企業は、その努力の90％を境界の防御に充てており、10％だけを検出して対応しています。 攻撃者が防御を突破できた場合、彼は自分にとってかなり有利な環境にいることに気付き、被害者に不快な結果をもたらします。 この比率を60/40に変更するというGartnerの推奨は、非常に合理的です。 たとえば、 Carbanakの調査によると 、銀行組織に対する攻撃では、この同じ「10％ゾーン」で攻撃者が非常に長い間滞在したことが明らかです。



ここで以前のニュースダイジェストを見つけることができます。



企業インフラストラクチャへのエントリポイントとしてのOutlook Web App

ニュース 。 Cyber​​easonによる研究 。 マイクロソフトの反応 。



会社のコンピューターの1つにハッキングし、そのコンピューターにバグをインストールし、データ転送を整理した場合、何を盗むことができますか？ 従業員のラップトップから-この従業員の作業資料、および場合によっては彼がアクセスできるファイルサーバーからの他の情報。 幅広いアクセス権を持つマネージャーまたは管理者のコンピューターである場合、ケースは「より効率的に」進みます。 メールサーバーへのアクセスは、理論的にはメールを通過する膨大な量のデータを危険にさらす可能性があります。 Cyber​​easonの調査によると、ビジネスだけではメールに限定されない可能性があります。



よくあることですが、この場合、Outlook Web App（Web Access、Exchange Web Connect、およびWeb on Outlookとも呼ばれます-製品の存在から20年以上にわたって、Microsoftは4回名前を変更しました）に特定の脆弱性はありません。 管理者のユーザー名とパスワードが盗まれ（フィッシングによる可能性が高い）、悪意のあるDLL（および署名のないDLL）がサーバーに導入されました。 その結果、メールだけでなくActive Directoryにもアクセスできるようになりました。 クラッカーは、会社の従業員に代わって手紙を送ることができます。 さらに、Webメールへの接続を監視するためにIISサーバーに別のタブが導入されました。調査の結果から判断すると、メールの受信者と受信者は非常に厳密に監視されていました。 OWAに対する研究者の主な不満は、サーバー上で署名されていないバイナリが正常に起動されたことですが、Microsoftは、 正しい構成ではそのような攻撃が不可能になると述べています 。



そうかもしれませんが、これらは詳細です。 それらから注意をそらす場合、次のようになります。

-定義上、インターネットおよび内部ネットワークにアクセスできるサービス。

-ITスペシャリストによる安全対策の違反（ユーザー名とパスワードが盗まれましたが、明らかにユーザーからではありません）。

-サーバー構成が正しくないため、問題なくバックドアをインストールできました。

-ハッキングを長期間検出できない。









しかし、パッチのみがロールバックを望んでいた...



つまり、一連の問題全体であり、それぞれ個別に対処する必要があります。 興味深いことに、Active Directoryのデータの価値は通常疑いの余地がなく、このサービスを確実に保護します（ そのような攻撃ベクトルの例はありますが）。 ただし、最も脆弱なリンクを介して貴重な情報にアクセスする方法は、常にそれほど明確ではありません。



T-Mobileは請負業者を通じて1500万人の加入者のデータを盗みました

ニュース 。 攻撃の犠牲者であるExperianからの開示 。 T-Mobileの顧客への連絡 。



少し余談から始めましょう。 米国では、ほとんどの携帯電話加入者がオペレーターとの長期契約に署名し、その価格には通信サービス、および携帯電話、スマートフォン、タブレットが含まれる場合があります。 一方では便利です。新しいデバイスを無料または割引価格で入手できますが、他方では機能せず、契約が終了するまで別のオペレーターに行くことはできません。 仕事のスキームでは、潜在的なクライアントとして、おおよそ銀行でローンを申請するときと同じように、あなたが支払能力についてチェックされることを想定しています。 これを行うには、地元の信用調査機関に要求が行われます。 T-Mobileの場合、Experianはそのような局として行動し、ハッキングされました。



影響を受けた企業からの情報によると、そのサーバーの1つへの不正アクセスは1回限りの短期的なものでしたが、2年間で1500万人のモバイルオペレーターの加入者に関する大量のデータが漏洩したとされています。 この困難な状況では、両社は非常に率直に行動したことを認めなければなりません。 何が起こったかの詳細な説明がサイトに投稿されました。 被害者には、個人データを使用して不審な取引を追跡するための無料サービスが提供されます。 これは、たとえば、 4000万枚のクレジットカードのデータを漏えいさせた後、「すべてを修正しました」というスタイルの短いメッセージに限定されたTargetと比較して、大きな進歩です。 T-Mobileの場合、クレジットカード情報は影響を受けていませんが、名前、住所、運転免許証など、その他はすべてイエスです。 さらに、T-MobileのCEOへの手紙では、データが部分的に暗号化されていたが、明らかに十分ではないことが指摘されています。









「そして、彼らはすべてのデータを暗号化しています！」



この話はプライバシーにも関連しています。先験的なクレジット組織は顧客について多くのことを知っておく必要があり、さまざまなソースから情報を取得します。 さらに、彼らはこのデータを他の企業に金銭で販売しており、彼らのクライアントは常に尊敬される国際的な企業とはほど遠い。 以前、同じExperianがさらに別のスキャンダルで登場しました。 その後、彼らは誰も壊しませんでした、シンガポールのLLCに代わってベトナムの1人の市民がExperianのサービスの代金を支払い、データを2億人のアメリカ人に個人情報盗難と呼ばれる犯罪グループに転売しました 。 たとえば、忘れられたパスワードを変更するリクエストでAmazonに連絡すると、住所、生年月日、社会保障番号を求められることがあります。Experianなどの組織が所有しているのは、これらのデータです。



そしてもう1つ、データを失うことは、ある会社から別の会社に移行するときに最も簡単です。 テクノロジーと保護へのアプローチが必然的に異なるからです。



IPカメラメーカーが自社製品の脆弱性の開示をブロックし、裁判所を脅かす

ニュース 。 研究の要約 。



スイスのPtrace Securityの研究者であるGianni Niesaは、シンガポールのHITB GSECでIPカメラセキュリティのいくつかの側面について話をしたいと考えていました。 しかし、できませんでした。 彼の研究には、3つの異なるメーカーのネットワーク監視カメラの脆弱性の例が含まれていました（現在、私たちはどれを知っていますか）。 こうした出来事の変化を予感させるものはありませんでした。ジャンニは、脆弱性に関する情報をベンダーに送り、技術者と定期的にやり取りし、最後に、スピーチを準備していることを発表し、研究内容の調整を提案しました。 その瞬間から、ある会社のITスペシャリストがどこかに姿を消し、代わりに弁護士が対話を始め、誰にも話さないように勧めました（そうでなければ、それはさらに悪いことです）。



これは初めてではなく、悲しいかな、最後ではありません。 その理由も明らかです。研究者とサイバー犯罪者の間の境界線は、オブザーバーの観点からは明らかです（最初の者は害を及ぼさないようにします）が、法の観点からは明確に述べられていません。 適切な事例は、 Wassenaar Arrangementであり 、これは、デュアルユース技術の輸出を制限する国際協定です。 2013年12月、欧州議会は、コンピューターシステムへの不正アクセスのためのソフトウェアをそのようなテクノロジーのリストに追加しました。 「良い目標のためにハッキングする」という考え方は、一般的に非常に疑わしいですが、少なくともそのようなソフトウェアの開発者（たとえば、悪名高いハッキングチーム）はクライアントをより慎重に選択すべきだと考えました。



しかし、彼らはそれをすべて「侵入ソフトウェア」という言葉に当てはまるような方法で作成しました。 これはサイバー犯罪者を傷つけることはありませんが、研究者（例えば、ペンテスター）は人生を困難にします。 結果-9月、HPは日本のハッカソンPWN2OWNへの参加を拒否しました。これは、同社の専門家の退去が同じ「デュアルユーステクノロジーの輸出」として認められる可能性があるためです。



おお 企業が複雑な場合、法律の問題では、森林は一般的に暗いです。 脆弱性の公開を禁じたベンダーの動機は理解できます。あなたの人生を楽にする方法があれば、それを使ってみませんか。 しかし、これはセキュリティにどのように影響しますか？









企業が訴訟にエネルギーを費やすのではなく、脆弱性を解消することに費やした場合 、世界はより安全になります。



これは、「すべての人にすべてを許可する」シナリオが「すべてを禁止する」よりもはるかに優れているということではありません。最終的に、脆弱なソフトウェアおよびハードウェアに関する情報の無責任な開示は、ユーザーに深刻な損害を与える可能性があります。 解決策は、いつものように、両極端の中間にあります。



他に何が起こった：

原子力の安全性では、すべてが非常に悪いです。 Eugene Kasperskyによるブログ投稿への投稿。 主な結論：重要なインフラストラクチャとインターネットの間にエアギャップがあると思われる場合でも、もう一度考え直してください。 おそらくあなたは考えるだけです。



ガートナーはまた、将来を予測しています 。 興味深いことから：2018年までに、「マシンを制御するマシン」を作成する必要があります-「モノのインターネット」から数百万台のデバイスを管理することができなくなります（週末の半分を4つのRaspberry Piの「管理」に費やしたため、同意できません）。 さらに、人々でさえ「ボスロボット」と約束されており、アクティビティトラッカーは歩数をカウントするためではなく、雇用主があなたをフォローするために着用する必要があります。 勇敢な新しい世界！ ただし、これは仕事を見つけた場合です。3年で最も急成長している企業では、人よりも車の方が多くなります。



ドローンやその他のドローンはハッキングされる可能性があります （疑いの余地はありませんでした）。 次のタイプのスマートデバイスはすべて、水ぼうそうのように病気であり、すべての幼稚なセキュリティホールがあります。 この場合：認証を必要としないデータ転送プロトコル。



古物：

賛美歌ファミリー



非常に危険な常駐ウイルスのファミリー。 COMおよびEXEファイルの起動時、閉じるとき、名前の変更時、または属性の変更時に標準的に影響します。 現在の月の番号が番号と一致する場合（1月1日、2月2日など）、ドライブCのブートセクタのシステム情報の一部を破壊し、次に画像を解読して表示します。











その後、ソ連国歌が行われます。 この場合、ウイルスはディスクのブートセクターのバイトをリセットします。これは、セクターあたりのバイト数、クラスターあたりのセクター、FATのコピー数などを示します。 （合計9バイト）。 MS-DOS環境で実行されているコンピューターのブートセクターでこのような変更を行うと、ハードドライブとフロッピーディスクの両方からの読み込みが停止します。 情報を回復するには、独自のミニローダーを作成するか、特別なユーティリティを使用する必要があります。 Hymn-1962およびHymn-2144は、体を暗号化します。



Eugene Kaspersky著の本「MS-DOSのコンピューターウイルス」からの引用。 1992年。 36ページ



免責事項：このコラムは、著者の個人的な意見のみを反映しています。 カスペルスキーの位置と一致する場合もあれば、一致しない場合もあります。 ここは幸運です。