iOS

Последен ъпдейт на 28 юни 2018 в 01:31 ч.

Последен ъпдейт: 03 октомври 2017 г. 

Рисковете от подслушване, подмяна и инжектиране на трафик при използване на слабо защитени  или отворени мрежи са често обсъждана тема, но какво ще кажете за рискове в защитените мрежи?

Wi-Fi Protected Access II (WPA2) е стандарт на повече от 10 години, който е задължителен за всички  WiFi обозначени устройства. До скоро се смяташе, че WPA2 е изключително сигурен и непробиваем. Преди дни двама белгийски изследователи публикуваха своите открития за слабости в имплементацията на протокола, които могат да бъдат използвани в серия от атаки известни  с името – „KRACK“ (Key Reinstallation AttaCK). Важно е да споменем, че тези слабости са документирани и преди, но рисковете за експлоатацията им са били теоретични… до сега.

Какви са опасностите при успешна атака?

На практика престъпници могат да използват тази иновативна техника за да се сдобият с информацията, която при нормални обстоятелства трябва да е достатъчно добре защитена (криптирана). Могат да бъдат откраднати финансови данни, пароли, чат съобщения, електронни писма, мултимедия и т.н…. В зависимост от настройките на мрежата, е възможно инжектиране и/или изменяне на информация, тоест сервиране на ransomware или друг тип malware в услугите и сайтовете, които посещавате.

Какво всъщност представлява KRACK?

Слабостта се крие в преинсталацията на ключовете за криптиране при злоупотреба на съобщенията за договаряне. От време на време, докато се договаря криптирането на безжичната връзка, клиента и точката за достъп (Access Point или само AP) трябва да съгласуват ключове.
За да се постигне това съгласуване се ползва протокол, който има четири стъпки – “four-way handshake”:

1. AP-то до клиента – хайде да се разберем за сесиен ключ. Ето малко еднократна и произволна стойност за изчисляването му;
2. Клиента до AP-то – добре, ето и от мен малко еднократна и произволна стойност за изчислението на ключа;В този момент, двете страни включват в изчислението и паролата за достъп до WiFi мрежата (така нареченият Pre-Shared Key или PSK). Така се изчислява сесийният ключ и се избягва прекият обмен на паролата, като се гарантира уникален ключ за всяка сесия.
3. AP-то до клиента – потвърждавам, че сме се договорили за достатъчно данни за конструиране на сесиен ключ;
4. Клиента към AP-то – да, така е. Потвърждавам!

Въпреки, че математически погледнато четирите стъпки описани до тук са напълно достатъчни за генериране на сигурен ключ, процесът може да бъде реализиран несигурно, което прави KRACK атаката възможна:

• Злосторникът стартира AP, което е двойник на истинското и клонира MAC адреса му, но оперира на различен радио канал. Така „лошото“ AP отклонява съобщение №4 и то не достига крайната си цел.
• Докато трае това „неразбирателство“, клиентът вече може да е започнал комуникацията с точката за достъп (AP), понеже и двете страни имат сесийният ключ, макар и да не са довършили докрай “four-way handshake” протокола.

Това означава, че клиентът вече генерира криптографски материал, наричан keystream, с който ще защити предаваната информация. За да е сигурно, че keystream поредицата никога не се повтаря, клиентът добавя nonce (число което не се повтаря) към сесийният ключ. Това число се инкрементира за всеки фрейм, което гарантира, че keystream-a различен всеки път.

Има няколко вида KRACK атаки, но при всички тях се разчита на преизползване на keystream данни, което води до криптиране на различна информация с един ключ. Респективно, Ако знаете един набор от данни, можете да разберете другия – това е най-добрият случай. Някои случаи са по-лоши от това, защото могат да доведат до пълно компрометиране на връзката.

Вижте още: презентацията на официалните откриватели на атаката.

Обратно към атаката:

• В даден момент, легитимното AP ще изпрати копие на съобщение №3, вероятно няколко пъти… докато „лошото“ AP не реши да пропусне съобщението до клиента.
• Тук идва и „кофти“ реализацията, която обезсмисля заложената математическа гениалност – клиента най – накрая финализира договарянето, като рестартира keystream-a и „реинсталира“ сесийният ключ (от тук идва и името на похвата). Стойноста на числото, което никога не трябва да се повтаря (nonce), също е върната към това което е била след съобщение №2.

На практика keystream последователността започва да се повтаря, което е голямо НЕ СЕ ПРАВИ ТАКА в криптографията.

„…всяко WiFi устройство е уязвимо към някоя от атаките. Oсобено опустошителен ефект има срещу Android 6.0 – принуждава клиента да използва предсказуем ключ за криптиране – само `0`“

Ако се знае съдържанието на първоначалният фрейм, може да се възстанови keystream-a използван за криптирането му > ако keystream-a е известен, може да се използва за декриптиране на последващите фреймове.
Атаката е успешна дори, ако нападателят успее да прихване дори няколко фрейма от дадена сесия.

Колко сме уязвими и как да се предпазим?
Въпреки, че всичко до сега звучеше доста заплашително и лесно за изпълнение, пък и доста медиен шум се вдигна, има няколко фактора които смекчават обстоятелствата:

• Атаката изисква нападателя да се намира физически в обхвата на WiFi мрежата. Иначе казано, ако видите подозрителна персона с качулка да удря по клавиатурата до домът или офисът Ви, имате сериозен проблем и той не е в WiFi настройките;
• Атаката е изключително сложна за изпълнение и лесна за неутрализиране – трябва просто да приложите последните актуализации върху точките за достъп или върху клиентите. Microsoft пуснаха ъпдейт адресиращ уязвимостта в началото на месеца. И Apple iOS устройствата, и macOS са уязвими! Тук може да намерите подробен списък със засегнатите операционните системи и производители, както дали вече имат ъпдейти с фиксове. Apple публикуваха патч за уязвимостта.
• Остават си препоръките за използване на сигурни протоколи (тези които завършват на „S“ обикновено са такива ;), както активиране на VPN при свързване с непознати и отворени мрежи.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

Последен ъпдейт на 28 юни 2018 в 01:50 ч.

Съвсем наскоро Световната федерация по кеч стана жертва на пробив в сигурността, вследствие на който изтекоха лични данни на 3 милиона клиенти. Хакерите успешно са пробили системата, хоствана от облачна услуга на Amazon. Според Forbes  данните съдържат адресите, етническата принадлежност, залозите и печалбите, както и други лични данни на жертвите. Случилото се е смущаващо, но и чудесен пример за последиците от подобни престъпления.

Ето кои са шестте най-големи пробива в сигурността на облака досега.

1. Microsoft

През 2010 г., вследствие на неправилно конфигуриране на услугата Business Productivity Online Suite, инцидентно се дава достъп на неупълномощени потребители на облачната услуга до контактите на други потребители. Компанията потвърждава за нерегламентирания достъп, но уверява, че проблемът е бил разрешен в рамките на два часа. Тъй като са засегнати сравнително малък брой хора, инцидентът се счита за незначителен. Случилото се е не само първият сериозен пробив в сигурността на облачните услуги, но и предвестник на онези, които ще последват.

2. Dropbox

Никой не е подозирал за истинските размери на чудовищния пробив в Dropbox, когато се е случил през 2012 г. Едва 4 години по-късно, през 2016 г., става ясно, че хакерите успяват да се сдобият с данни за достъп на 68 милиона профила . Пробивът е толкова мащабен, че файловете с данни на потребители са с обща големина цели 5 Gb! Откраднатите имейли и пароли за достъп се търгуват от хакерите в dark web срещу биткойни, когато цената им е била около 1,100 щатски долара. Вследствие на пробива Dropbox предприема масово нулиране на потребителски пароли, за да предпази клиентите си от злоупотреба с лични данни.

@darkpawH and @PyroTek3 on hacking the cloud to a huge and packed room at @defcon pic.twitter.com/zXK292dl8v

— MrShannon (@MrShannonFritz) July 27, 2017

3. Национален електорален институт на Мексико

През април 2016 г. Националният електорален институт на Мексико става жертва на атака, която разкрива регистрациите на 93 милиона избиратели. Личните данни се оказват публични вследствие на лошо конфигурирана база данни. Този пробив разкрива редица други нарушения, като например това, че институцията е съхранявала чувствителни данни на необезопасен облачен сървър на Amazon извън пределите на Мексико. На това му се казва „как да не съхраняваме лични данни, ако сме държавна институция“.

4. LinkedIn

Понякога късметът наистина може да ни изиграе лоша шега. Точно това се случва с LinkedIn, когато през 2012 г. киберпрестъпници успяват да откраднат 6 милиона потребителски пароли и да ги публикуват в руски форум. Само 4 години по-късно, през май 2016 г., втора атака води до компрометиране на данни за достъп на над 167 милиона LinkedIn профила, които хакерите пускат за продажба на черния пазар. Инцидентът става причина LinkedIn да предприемат спешни мерки по сигурността и освен смяна на компрометираните пароли, въвеждат двустепенно удостоверяване (two-factor authentication) – опция, която позволява допълнително въвеждане на ПИН код, получен чрез SMS при всяко логване в сайта.

5. Apple iCloud

Няма да сгрешим, ако наречем пробива в Apple iCloud най-скандалния по рода си, защото този път не става дума за някакви си милиони обикновени потребители, а за известни личности. Личните снимки на Дженифър Лорънс и други публични личности, съхранявани в облака, стават достъпни за хакерите. Първоначално се смята, че причината е масово хакване на телефони, но впоследствие се оказва, че е била компрометирана услугата iCloud, използвана от звездите за съхранение на личните им архиви. В отговор на атаката Apple подканва потребителите да сменят паролите си с по-сигурни, както и да активират известия в случай, че се установи съмнителна активност в профилите им.

6. Yahoo

Съвременните уеб гиганти базират услугите си почти изцяло върху облачна инфраструктура. Това включва и Интернет мастодонтът Yahoo, който сам се оказва жертва на киберпробив. На компанията са й нужни близо 3 години, за да се справи с пораженията от атаката, случила се през 2013 г., и едва в края на 2016-а, разкрива детайли за мащаба й. Компрометирани са близо 1 милиард потребителски профила, което включва електронните адреси, имената, рождените дати и тайните отговори на въпросите за възстановяване на парола. Това се счита за най-мащабният киберпробив в историята, което си е сериозен рекорд, особено предвид че месеци преди това, от същата компания изтичат данните на други 500 милиона профила.

В бизнес средите няма съмнение,  че облачните услуги имат както предимства, така и недостатъци. Но изводите от тези мащабни атаки са, че облакът може да разкрие целия си потенциал само, ако сигурността му се развива паралелно с все по-голямата му популярност.

Прочетете повече: Колко безопасни са публичните облаци за съхранение на бизнес информация?

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

Последен ъпдейт на 28 юни 2018 в 01:51 ч.

Киберпрестъпниците често са привлечени от масово използвани системи, тъй като им осигуряват достъп до голям брой потребители. В този случай дори малък процент успешни атаки носят голяма печалба. Наскоро Google обявиха, че през 2017 г. Android ще е активен на повече от 2 милиарда устройства. Apple ги догонват, тъй като по последно обявени данни от 2016 г. са преминали прага от 1 милиард активни iOS устройства.

Thanks to developers and our partners around the world, there are now more than 2 billion monthly active Android devices. #io17 pic.twitter.com/tMH6aHsAIP

— Google (@Google) May 17, 2017

Ако имате устройство с Android, вече може да станете цел на нова атака – злонамерен код (malware), способен да чете въведени банкови данни. Троянецът се маскира като фалшив Flash ъпдейт и е програмиран да краде номера на кредитни карти и данни за достъп до онлайн банкиране. Не е нужно да споменаваме, че веднъж сдобили се с тези данни, киберпрестъпниците лесно източват средства от сметката ви.

SophosLabs разпознава зловредния код като Andr/Banker-GUA и успешно блокира достъпа му до клиентските устройства. Известен още като „Invisible Man“ („Невидимият човек“), злонамереният софтуер е вариант на Svpeng.

Как работи „Невидимият човек“?

При инсталирането си вирусът прави проверка какъв език е зададен на телефона и ако е руски, се деактивира. В случай че е друг, се опитва да получи достъп до т.нар. accessibility services – функции на телефона, които помагат на потребители с увреждания да въвеждат данни върху екрана чрез директно изписване на символи. Веднъж придобил достъп до тези функции, „Невидимият човек“ може да „пише“ по екрана върху всички отворени приложения и да се инсталира като основно SMS приложение.

Вирусът създава невидими прозорци, които копират въведената от потребителя информация. Когато отворите приложението за онлайн банкиране и въведете номера на кредитната си карта в легитимното приложение, върху празните полета има прозрачен екран, създаден от вируса. По този начин при въвеждането на данните, вие предоставяте тази информация и на злонамерената програма. Така номерата на кредитните карти и паролите за достъп до онлайн банкирането отиват директно при престъпниците, без да имате никакъв шанс да заподозрете, че сте станали жертва на кражба на данни.

Как да се предпазим от атаката?

1. Бъдете бдителни, когато Flash Player поиска да се актуализира

Поради доброто замаскиране на атаката трябва да сте наблюдателни за малки сигнали от телефона си. Първата червена лампичка светва, когато получите съобщение за нужда от актуализация на Flash Player, който настойчиво иска да се инсталира на устройството ви. Flash има печална слава на популярен вектор на атака на огромен брой злонамерен софтуер, а многобройните му проблеми със сигурността водят до чести известия за нуждата от актуализация. Това води до порочен кръг от непрестанни актуализации, от които се възползват много вируси с цел да се маскират като поредния ъпдейт на Flash.

Ако все пак ви се налага да инсталирате Flash Player на устройството си, следвайте официалните инструкции на Adobe, а не се подвеждайте от упорито изскачащи прозорци, които ви подканят да го направите автоматично.

2. Не давайте достъп на приложения, които искат разрешение за ползване на услуги за достъпност

Втората червена лампичка трябва да ви светне, когато на телефона ви се появи съобщение от приложение, което иска разрешение за достъп до accessibility services („услуги за достъпност“). Ако нямате физически увреждания, няма причина да давате такива права на което и да е приложение на мобилното си устройство.

3. Инсталирайте антивирусна програма на мобилните си устройства

Тъй като Android далеч не е защитен от вирусни атаки, е препоръчително да инсталирате антивирусна програма, като безплатния Sophos Mobile Security for Android. Това ще ви защити от редица заплахи, включително и от „Невидимият човек“.

4. Поддържайте дигитална хигиена

Въздържайте се от инсталирате на непотребни приложения. Така ще си спестите много неприятности. Правете регулярна „чистка“ на устройствата си и оставете само онези приложения, които реално използвате.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook.