В Лас Вегасе прошла церемония вручения премии Pwnie Awards 2017

В Лас Вегасе прошла церемония вручения премии Pwnie Awards 2017

В Лас Вегасе прошла церемония вручения премии Pwnie Awards 2017

На прошедшей в Лас Вегасе конференции Black Hat состоялась церемония вручения премии Pwnie Awards 2017, в рамках которой выделены наиболее значительные уязвимости и абсурдные провалы в области компьютерной безопасности. Pwnie Awards считается аналогом Оскара в области компьютерной безопасности и проводится ежегодно, начиная с 2007 года.

Основные номинации:

  • Самый ламерский ответ вендора (Lamest Vendor Response). Номинация за самую неадекватную реакцию на сообщение об уязвимости в собственном продукте. Победителем признан Леннарт Поттеринг (Lennart Poettering) за систематическое непризнание уязвимостей и тихое внесение исправлений без указания в списке изменений или тексте коммитов номеров CVE и без упоминания связи исправления с проблемами безопасности. В качестве примеров приводятся сообщения об ошибках 5998, 6225, 6214, 5144 и 6237 с разыменованиями нулевых указателей, записью за пределы буфера и запуском сервисов с повышенными привилегиями, которые Поттеринг отказался рассматривать как уязвимости, пишет opennet.ru.

    В качестве претендентов на получение премии также рассматривались:

    • Проект Nomx, который позиционировался как реализация наиболее защищённого коммуникационного протокола, а на деле оказался примером наплевательского отношения к безопасности.
    • Simon Smith за его работу по написанию запросов на удаление роликов в Youtube и заметок в блогах, в которых публиковались сведения об уязвимостях в его продуктах 1IQ, eVestigator, RPL Central и Official Intelligence (коммерческие форки Onion Browser и разных открытых мобильных приложений).
  • Лучшая серверная ошибка. Присуждается за выявление и эксплуатацию наиболее технически сложной и интересной ошибки в сетевом сервисе. Премия присуждена группе Equation, которая связывается с деятельностью Агентства Национальной Безопасности США (АНБ), за подготовку эксплоитов для атаки на Windows SMB, которые были опубликованы командой Shadow Brokers вместе с порцией других данных, полученных в результате утечки информации из АНБ.

    Из не получивших премию претендентов можно отметить:

    • Критическая уязвимость (CVE-2016-6309) в OpenSSL, которая образовалась в результате исправления другой неопасной уязвимости и могла привести к выполнению кода злоумышленника при обработке отправленных им пакетов;
    • Уязвимостт Cloudbleed - утечка неинициализированных отрывков оперативной памяти прокси-серверов Cloudflare;
    • CVE-2017-0290 - удалённый запуск кода в Microsoft WinDefender;
    • CVE-2017-5689 - обход аутентификации в технологии Intel AMT;
    • CVE-2016-6432 - удалённый запуск кода в Cisco ASA.
  • Лучшая ошибка в клиентском ПО. Победителем признана уязвимость в Microsoft Office (CVE-2017-0199), позволявшая организовать выполнение кода через манипуляцию с OLE-объектами. На получение премии также претендовали:
    • Уязвимость в gstreamer-плагине для обработки музыкального формата SNES, который воспроизводил SNES через эмуляцию машинных кодов звукового процессора Sony SPC700 при помощи эмулятора Game Music Emu;
    • Серия уязвимостей, позволивших получить root-доступ в Chrome OS;
    • Уязвимости CVE-2016-5197 и CVE-2016-5198, позволившие получить полный контроль над Android при открытии специальной страницы в Chrome.
  • Лучшая уязвимость, приводящая к повышению привилегий. Победа присуждена создателям атаки Drammer, которая позволяет получить привилегии root на платформе Android не эксплуатируя явных уязвимостей в ПО, а пользуясь уязвимостью чипов памяти DRAM (RowHammer, позволяет исказить содержимое отдельных битов памяти путём цикличного чтения данных из соседних ячеек памяти). На получение премии также претендовали:
    • Уязвимость (CVE-2017-7228) в Xen, позволяющая получить доступ ко всей системной памяти из гостевой системы;
    • Root-уязвимость в ядре Linux (CVE-2017-7184), применённая на конкурсе Pwn2Own для атаки на Ubuntu;
    • Серия уязвимостей, связанных с применением структур task_t;
    • Уязвимость Blitzard (CVE-2016-1815) в ядре macOS.
  • Лучшая криптографическая атака. Присуждается за выявление наиболее значимых брешей в реальных системах, протоколах и алгоритмах шифрования. Премия присуждена команде, разработавшей практический метод генерации коллизии для SHA-1. Претендентами на получение премии также были:
    • FFS (Flip Feng Shui), метод скрытого изменения памяти чужих виртуальных машин;
    • Атака на RFC 7516 (JSON Web Encryption, JWE), позволяющая отправителю извлечь закрытый ключ получателя.
  • Лучший бэкдор. Присуждается за представление или обнаружение бэкдора, наиболее изощрённого с технической точки зрения или опасного с точки зрения широты распространения. Премия присуждена бэкдору M.E.Doc, устанавливаемому вредоносным ПО NotPetya. Претендентами на получение премии был бэкдор в отладочном коде модифицированного ядра Linux для систем Allwinner и бэкдор в SonicWall GMS.
  • Лучший брендинг. Присуждается на наиболее заметное продвижение информации об уязвимости как продукта. Последнее время уязвимости используются как инфоповод для своего продвижения. Для уязвимостей запускают отдельные сайты, создают логотипы и присваивают заметные имена. Победа в данной номинации присуждена уязвимости GhostButt (CVE-2017-8291) для которой даже была написана своя песня. Претенденты: RingRoad, DirtyCOW, Cloudbleed.
  • Наиболее инновационное исследование. Премия прусуждена авторам новой техники обхода механизма защиты ASLR (Address space layout randomization), которая может быть реализована на языке JavaScript и использована при эксплуатации уязвимостей в web-браузерах. На получение премии претендовали:
    • Инструментарий fuzzing-тестирования Fuzzy Lop;
    • Демонстрация перехвата звонков/SMS и создания фиктивных звонков/SMS от другого пользователя в сотовых LTE-сетях;
    • Инструмент для выявления уязвимостей Bochspwn Reloaded; техника атаки Drammer.
  • Наиболее раздутое объявление об уязвимости. Присуждается за наиболее пафосное и масштабное освещение проблемы в интернете и СМИ, особенно если в итоге уязвимость оказывается неэксплуатируема на практике. В номинации упомянуты:
    • Уязвимость Dirty Cow (CVE-2016-5195), которая является локальной уязвимостью в ядре Linux, ничем не примечательной перед другими подобными проблемами, которые вплывают регулярно. Но в отличие от остальных проблем для Dirty Cow создан свой сайт, логотип и аккаунт в Twitter.
    • Уязвимость в Cryptsetup (CVE-2016-4484), которая была излишне демонизирована несмотря на возможность совершения атаки, только при физическом доступе к оборудованию;
    • Исследователь, выявивший код для деактивации атаки вредоносного ПО Wannacry был возвеличен в СМИ как спаситель человечества и герой;
    • Атака Cloak and Dagger, для которой заведён свой сайт, на деле бессмысленна, так как требует, чтобы жертва установила специальное приложение с правами вывода поверх других окон.
  • Самый большой провал (Most Epic FAIL). Победа присуждена премьер-министру Австралии, который выступил за законодательный запрет оконечного (end-to-end) шифрования в мессенджерах и заявил, что законы Австралии главнее, чем законы природы (законы математики). Среди других претендентов:
    • Выпускаемый Лабораторией Касперского защищённый браузер для iOS (HTTPSafe Browser) на деле не проверял валидность SSL-сертификатов для всех сайтов, кроме тех, что уже находились в чёрном списке;
    • Издание Intercept случайно раскрыло источник утечки информации, который до этого тщательно скрывала, не закрасив подпись на скане документа;
    • Уязвимость Cloudbleed в результате которой открывки конфеденциальных данных клиентов Cloudflare засветились в поисковых системах.
  • Самое значительное проникновение (Epic 0wnage). Вручается за самый разрушительный и наиболее освещаемый СМИ взлом, а также за публикацию информации об уязвимости, приведшей к этому взлому. Премию поделили вредоносное ПО WannaCry и деятельность Shadow Brokers по публикации эксплоитов, полученных в результате утечки информации из АНБ.
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В рунете оживились мошенники, продающие водительские права и военбилеты

Эксперты F.A.C.C.T. фиксируют активизацию мошенников, предлагающих услуги по оформлению документов. Судя по публикациям в Telegram, число объявлений о продаже водительских удостоверений за квартал возросло в 2 раза, военных билетов — более чем в 6 раз.

За водительские права просят от 22 тыс. до 90 тыс. руб. (в зависимости от категории), за военный билет с отметкой «не годен к военной службе» — в среднем 110 тыс. рублей. В обоих случаях покупатель теряет деньги и персональные данные, ничего не получая взамен.

Схема развода в целом одна и та же. Продавец уверяет, что фальсификацией он не занимается, документ настоящий и будет официально зарегистрирован (права внесут в базу данных ГИБДД, военбилет — в единый реестр воинского учёта). У покупателя просят предоплату в размере 40-50% и указывают реквизиты для перевода.

Получив деньги, аферист просит предоставить информацию для оформления документа: паспортные данные, фото подписи на белом фоне, сканы страниц паспорта, ИНН, медсправку, которую, впрочем, водитель может здесь же приобрести за дополнительные 5 тыс. рублей.

Полученные данные пересылаются сообщнику-отрисовщику (специалисту по обработке цифровых изображений). Тот создает картинку документа, которая затем высылается жертве в качестве доказательства выполнения заказа.

Далее ей предлагают выбрать способ доставки и требуют полной оплаты, пообещав добавить данные документа в базу. Получив и этот перевод, мошенники перестают выходить на связь.

В IV квартале также получила распространение схема отъема денег с блокировкой телефона жертвы через iCloud. Сценариев при этом множество. Мошенник, например, может обратиться к намеченной жертве через сайт знакомств и от имени привлекательной девушки посетовать, что iPhone вышел из строя.

Теперь придется как-то восстанавливать черновик курсовой, важные документы и т. п.; если собеседник предложит помощь, ему пришлют учетные данные iCloud. После входа телефон жертвы блокируется через настройки, и с нее потребуют деньги за разблокировку (уже другой персонаж).

 

Чтобы заманить владельца iPhone в ловушку, злоумышленники могут использовать другой предлог — оказание помощи в установке приложений, удаленных из AppStore.

По данным F.A.C.C.T., подобного рода мошенничеством, а также продажей поддельных документов, которые так и не доходят до заказчиков, в России занимаются как минимум три криминальных группировки. Одна из них работает с середины сентября и уже успела обмануть более 170 пользователей, суммарно украв у них почти 5,5 млн рублей.

«За любым предложением о покупке документов скрывается множество опасностей, — предупреждает Мария Синицына, старший аналитик в F.A.C.C.T. Digital Risk Protection. — Самая очевидная — угроза уголовной ответственности за приобретение поддельных документов. Вторая — потеря денег. С ней напрямую связана третья опасность: жертва, которую обманули один раз, остаётся на крючке преступников, ведь они получают важные персональные данные человека: его ФИО, номер телефона, сканы паспорта и других документов, которые могут быть использованы для других мошеннических схем».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru