31 мая 2012

[Перевод] Обзор событий информационной безопасности от Fortinet (21/2012)

Продолжая не любить слово «вредонос», но не придумав ему нравящейся альтернативы, продолжаю публикацию переводов еженедельного обзора событий информационной безопасности от компании Fortinet.

Боеспособность сил киберпреступного мира была немного подорвана на прошлой неделе серией арестов, охвативших аудиторию от злоумышленников высокого уровня квалификации до начинающих хакеров, а исследователи, возможно, нашли способ борьбы с уязвимостью протокола SSL, из-за которой в прошлом году пострадали некоторые удостоверяющие центры (CA). Представляем обзор 21й недели 2012 года.

Вредонос для Facebook вышел на охоту. В свете недавнего выхода на IPO крупнейшей социальной сети вполне не удивителен всплеск активности соответствующего вредоносного программного обеспечения, одна из версий которого теперь распространяется, невинно предлагая пользователям отказаться от использования своего аккаунта. Ведя себе вполне типично для фишинговых атак, новый вредонос для Facebook заманивает пользователей сообщением с ссылкой, по которой им предлагается перейти, чтобы якобы удалить свою учётную запись или подтвердить желание продолжать использовать социальную сеть. На самом деле ссылка в сообщении перенаправляет пользователя на вредоносный Java-апплет, который начинает надоедать сообщениями, требуя разрешить свой запуск, после чего выводит предупреждение об устаревании версии Adobe Flash и предлагает установить фиктивное обновление для него. После «обновления» вместе с мнимым чувством собственной защищённости пользователь получает на своей системе бэкдор, предоставляющий злоумышленнику полный удалённый доступ к компьютеру.

Google снова патчит Chrome. Поисковый гигант Google в очередной раз повысил безопасность своего браузера Chrome, исправив 13 уязвимостей, две из которых считались критическими. В частности, одно из обновлений с самым высоким рейтингом критичности исправляет ошибку в работе браузера с кэшем, другие же решают проблемы неправильной работы с памятью при использовании WebSocket в протоколе SSL. Второе комплексное обновление Google на неделе включало в себя в общей сложности исправление девяти уязвимостей с рейтингом уровня опасности «высокий», на которые администраторам рекомендуется обратить внимание и присвоить высокий приоритет в очерёдности установки обновлений. Данные обновления исправили некоторые ошибки в плагине JavaScript, различных вариантах обработки PDF и некоторых других сценариях работы браузера. В последней версии Chrome также исправлены две уязвимости с рейтингом опасности «ниже среднего».

Предложено решение проблемы «подмены сертификатов». На прошлой неделе исследователи Moxie Marlinspike и Trevor Perrin нашли способ противодействия атаке на протокол SSL, основанной на подмене цифровых сертификатов, предложив сайтам подписывать открытые ключи TLS-серверов (Transport Layer Security) с помощью ключей Trust Assertions for Certificate Keys (или TACK). Как правило клиент TLS проверяет открытый ключ сервера TLS с помощью цепочки сертификатов, выданных публичным удостоверяющим центром. Данный процесс, по сути, позволяет подключающемуся клиенту проверить открытый ключ сервера и «увязать» TLS-соединение с конкретным TLS-хостом. Однако в ходе проверки цепочки сертификатов могут возникнуть проблемы с теми TLS-серверами, для которых одновременно имеются несколько различных действующих цепочек сертификатов, которые к тому же могут в любой момент изменяться. Подписание открытого ключа TLS-сервера ключами TACK позволяет клиентам надежно «увязывать» имя хоста с ключом TACK, одновременно избавляя от сложностей, возникающих при использовании нескольких альтернативных цепочек сертификатов. Данные исследования были инициированы по причине серии атак на удостоверяющие центры, состоявшейся в прошлом году, когда даже такие известные компании как Google, Adobe и Microsoft были вынуждены отозвать сотни скомпрометированных сертификатов, выданных голландским удостоверяющим центром DigiNotar, взломанном в начале прошлого года. Данный взлом позволил злоумышленникам создавать поддельные удостоверяющие центры и с успехом применять атаки «человек посередине» против ничего неподозревающих пользователей. Инцидент в конечном итоге привёл к объявлению DigiNotar себя банкротом.

Автор Bredolab отправлен в тюрьму. Арестованный на прошлой неделе в Армении создатель ботнета Bredolab в ближайшие четыре года вероятнее всего будет находиться в заключении. Автором ботнета оказался 27-летний гражданин России Георгий Аванесов, чей доход от незаконной кибердеятельности по оценкам составлял около $125 000 в год. Заразивший около 30 миллионов компьютеров по всему миру ботнет Bredolab известен своей причастностью к многочисленным атакам типа «отказ в обслуживании» (DDoS), мошенничествам с распространением поддельных антивирусов и огромному количеству разосланного спама. Ботнет расширялся за счёт инфицирования легитимных сайтов вредоносным кодом, использующим широкий спектр уязвимостей в браузерах для заражения компьютеров пользователей в фоновом «тихом» режиме. Ботнет также обманом завлекал пользователей на заражённые сайты фишинговыми сообщениями по электронной почте, в Facebook, Skype и Amazon.

Мэр и его сын арестованы за хакерство. Мэр небольшого города Нью-Джерси (США) и его сын были арестованы по обвинению во взломе web-сайта оппонента, сообщает New York Times. Данное событие «расстроило» некоторых федеральных чиновников, посетовавших на то, что свои усилия мэру следовало бы направить против международных киберпреступников. Мэр города на западе штата Нью-Йорк 55-летний Феликс Роке и его 22-летний сын Иосиф были обвинены в совершении атаки на сайт recalroque.com, посвящённый критике деятельности мэра. Предполагается, что ими был осуществлён несанкционированный доступ к электронной почте с целью получения контроля над учётной записью администратора сайта и последующим его закрытием. Кибермошенническому дуэту отца и сына грозит тюремное заключение за компьютерный взлом, а также возможный штраф до $250 000.

Оригинал: http://blog.fortinet.com/security-week-in-review-may-21-25/