セキュリティウィーク04：Lenovo WiFiホール、conf-call-backdoor、Amazonが無料でHTTPSを配布

過去1週間は特別なものではありませんでした。多くのニュースがありましたが、Lenovoソフトウェアの次の脆弱性を除くほとんどすべては、「その他に起こったこと」カテゴリで簡単に定義できました。 そして結局、インシデントは重要でした。OpenSSL では、新しい脆弱性は閉じられました （ただし、Heartbleedほどひどいものではありませんでした）。 iOSおよびMac OS X では、クリティカルホールは閉じられています。 PayPalでは、バグバウンティプログラムを通じて、昨年Apache Commons Collectionsで見つかっ た深刻なバグを見つけて クローズし ました 。 はい、理論的には保護をバイパスし、サーバーに直接アクセスすることができます。



すべてが面白いですが、どういうわけかきらめきがありません。 しかし、これは、ダイジェストのフレームワーク内で、脅威の状況がもはや同じではないことを理解するための最初の試みではありません。 実際、過去6か月間に、まれな例外を除き、ハッキングが毎週発生し、脆弱性が非常に深刻なものであることが明らかになりました。 しかし実際、情報セキュリティのかなり狭い領域でのニュースのダイジェストは、退屈なプロダクションランのように見えるはずです！ 作業が行われている場所、計画が実施されている場所、穴が塞がれている場所、ソフトウェアが更新されている場所、新しい保護技術が登場しています。 多くの場合、ITセキュリティのインシデントの説明は黙示録のメッセンジャーのように見えます-楽しくて面白いが、まったくクールではありません。 そして今週、はい、すべてが非常にポジティブでした。 重大な失敗はありませんでしたが、いくつかの逸話的な話が起こりました。 すべての問題はここにあります 。



ファームウェアパスワードは、Lenovo SHAREit独自のソフトウェアで見つかりました。 どれだと思いますか。

ニュース 。 セキュリティアドバイザリ Lenovo。



Lenovo Shareitは、この会社が製造する多くのWindowsラップトップおよびAndoidスマートフォンに搭載されている標準プログラムです。 もちろん、購入後にシステム内の何も変更しなかった場合。 このプログラムは一般に良い目標を追求します。ラップトップ間またはラップトップとスマートフォンの間でファイルを交換することは比較的簡単です。 スマートフォンでこのような機能を他の方法で実装できる場合、Windowsではすべてがより複雑になります（ただし、Dropboxはいずれの場合でも役立ちます）。 このプログラムは単純に機能します。2番目のデバイスが接続する一時的なアクセスポイントを作成し、データを送信します。 確かに、この見かけの単純さ：内部（Windows）には、組み込みのWebサーバーなどがあります。



そのため、Windowsクライアントは、有線パスワードを使用して一時的なWiFiネットワークを作成しましたが、ユーザーはこれを変更できませんでした。 一般的に、これはこのような日常的な脆弱性であり、安価なウェブカメラから産業用ルーターまで多くの場所で発生しますが、微妙な違いがあります。 パスワードは12345678です。Lenovoの最も重大な罪（そしておそらく独立した開発業者と請負業者）は、会社が冗談のためにおいしい食べ物を用意したことでした。 原則として考えられる最も失敗したパスワードのリストでは、そのようなパスワードは常に最上位にあります。











2つのデバイス間の対話システム、特にそのようなパスワードは、セキュリティ監査にまったく合格せず、少なくともセキュリティとは遠い関係にある1人の人物が作業に参加したことはないと確信しています。 実際、すべてが脆弱性を発見したCore Securityに記載されているものよりもやや複雑です（はい、脆弱性があり、失敗です！）。 Windowsクライアントには保護モードがあり、WiFiネットワークのパスワードは個別に選択できます。 しかし、デフォルトでは、安全でないパスワードが使用されます 。 これは、ユーザーにとってより便利だと思うからです 。 ベンダーは間違いなくそのような態度を取り除く必要があります-それを便利で安全にすることは常に可能です。これは開発者の問題であり、「マスターするのが難しい」ユーザーの問題ではありません。



そして、Androidバージョンはどうですか？ 別の問題があります-パスワードがまったくありません。 つまり、誰でも一時的なネットワークに接続できます。 さらに、いずれの場合でも、データはHTTP経由で送信されます。つまり、データを傍受する（パスワードを知っている、またはオープンネットワークに接続している）ことは難しくありません。 最後に、Windows上で作成されたプログラムに接続されたアクセスポイントは、まったく同じビルトインWebサーバーへのクエリを使用して、コンピューター上のファイルのリストを表示できます。 それだけですか？ いいえ、すべてではありません。 Windowsクライアントは、それをケーブすることで攻撃を受ける可能性があります。



一般的に、すべてがそれほど悪くはありません。 デバイスは、アクセスポイントが上昇したときに比較的短時間だけ脆弱になります。 Windowsシステムからのファイルのダウンロードは失敗します。 しかし、送信されたデータの傍受は、非常に簡単に組織化されており、悪いです。 パスワード12345678は非常に悪いので、何か他のものがあったとしてもシステムは安全ではなかったでしょう。 これは評判の問題です。 すでに述べたように、企業にとってより重要なのは、セキュリティの分野での評判でしょうか？



セキュリティで保護された会議施設から有線バックドアが削除されました

ニュース 。



より多くのパスワード保護が必要ですか？ 私はそれらを持っています。 AMX社は、セキュリティの観点から、音声およびビデオ会議用のデバイスの開発を専門としています。その製品は、米国の軍事および政府機関でも使用されています。 現代の電話会議は、本質的に専用のコンピューターネットワークであり、AMX NX-1200デバイスで脆弱性が発見されました。要するに、ネットワークハブとさまざまなオーディオおよびビデオデバイス用のコンバーターが混在しています。 このデバイスで、SEC Consult は、リモートで接続できる文書化されていないアカウントを見つけました 。



その後、ジョークが再び始まります。 まず、隠されたアカウントはBlack Widowと呼ばれていました。











第二に、セキュリティ専門家がベンダーに通知したとき、「未亡人」を削除することで「問題を解決」しましたが、「バットマン」という名前の別のアカウントを追加しました。 バットマン！ まあ、より正確には、約1MB @ tManでした。 つまり、一方では、ホワイトハウス、空軍基地、米海兵隊、そして他方ではバットマンとウィドウのアカウントにネットワークインフラストラクチャが設置されています。











大丈夫。 ただし、次のファームウェア更新では、両方の非表示アカウントの結果が削除されました。



AmazonはHTTPSの証明書をお客様に無料で提供します

ニュース 。



変更については、冗談のないニュース。 1年前、Amazonは認証機関になることを決定し、独自のSSL / TLS証明書を発行できるようになりました。 今週、Amazonクラウドサービスユーザーは無料で証明書を取得して、HTTPS経由で訪問者を接続できることが発表されました。 同様のイニシアチブ、Let's Encryptは、最近無料の証明書の発行も開始し、制限付きではあるが「無料で、誰でも、無料で、誰も気分を害さないように」配布しています。 証明書を取得するプロセスは非常に単純で、可能な限り自動化されているため、HTTPSをサポートする悪意のあるサイトが実際に出現しました 。 ただし、これは良いアイデアを損なうものではありません。



Amazonでは、証明書は無料ですが、誰でも利用できるわけではありません。 これまでのところ、証明書はElastic Load BalancingとAmazon CloudFrontを使用して顧客に発行されますが、EC2は発行されません。 つまり、小さな顧客への賭けは行われず、慈善活動はここで臭いがしません。 いずれにせよ、商用プロバイダーにとって非常に高価なSSL / TLS証明書が快適なボーナスと競争上の優位性になることは良いことです。 これは、暗号化されたトラフィックのシェアが増加することを意味します。



他に何が起こった：

Samsungは、サポートなしで古いデバイスを放棄するのではなく、Androidをより頻繁に更新するよう会社に要求するなど、 訴えられました。 興味深いが、技術的な問題が原則として法廷で解決できるかどうかは分からない。



先週発見されたLinuxカーネルの脆弱性がAndroidにパッチされています。 Googleは、SELinuxポリシーのおかげで、影響を受けるデバイスはそれほど多くないと主張しています。 脆弱性を発見したパーセプションポイントは同意せず、近い将来にカバーの混乱を組織することを約束します。 待ってます！



古物：

「コンドーム-1581」



常駐の非危険ウイルス。 デフォルトでは、実行可能な.COMファイルに書き込まれます（COMMAND.COMを除く）。 int 8とint 21hをフックします。 「command」というテキストが含まれます。 システムタイマーの値に応じて、ウイルスは詩的な能力を表示し、次の作業を表示します。











Eugene Kaspersky著の本「MS-DOSのコンピューターウイルス」からの引用。 1992年。 63ページ



免責事項：このコラムは、著者の個人的な意見のみを反映しています。 カスペルスキーの位置と一致する場合もあれば、一致しない場合もあります。 ここは幸運です。