Архив за месяц: Август 2022

Записал традиционный расширенный вариант отчета по августовскому Patch Tuesday

Записал традиционный расширенный вариант отчета по августовскому Patch Tuesday. Кратко и на русском было здесь.

И ещё по поводу интервью Натальи Касперской

И ещё по поводу интервью Натальи Касперской. Там был такой тезис: "смартфоны нам массово заблочат, но не беда - продолжим пользоваться кнопочными телефонами, выживем". С одной стороны это конечно правда, телефоны без ОС недружественному вендору контролировать сложнее. Но тут стоит обратить внимание, что не во всех кнопочных телефонах, а корректнее называть это "фичафонами", нет ОС. Сейчас уже скорее наоборот. Например, в KaiOS, успешном форке Firefox OS, есть и браузер, и приложения, и магазин приложений. Эта OC используется в современных телефонах Nokia от HMD Global и много где ещё. KaiOS Technologies между прочим калифорнийская. Так что хоть и есть кнопки, а проблемы +- как со смартфонами. С другой стороны и в телефонах без ОС могут быть всякие сюрпризы. Вот например мой прошлогодний пост:

——

"На хабре прикольная статья про недекларируемые возможности кнопочных телефонов, которые продаются российском ретейле. Все сводится к тому, что телефоны могут самостоятельно сливать какие-то данные по СМС или подключаясь через интернет (GPRS):

1. Сообщать о факте покупки
2. Сообщать об использовании телефона передавая IMEI телефона и IMSI SIM-карт
3. Отправлять платные сообщения на короткие номера, загружая необходимый текст с сервера
4. Пересылать входящие смс на сервер злоумышленника

От формфактора это конечно не зависит и такие же (и даже большие) проблемы могут быть в смартфонах, особенно OEM-ных и в нижнем ценовом сегменте, потому что там точно никто не заморачивается проверками. Просто считается, что раз в простой звонилке нет ОС и забекдоренных приложений, то это автоматически означает бОльшую безопасность устройства. И это во многом справедливо. Например когда второй фактор в виде смс приходит на отдельное устройство (опустим тему настолько смс вообще адеватен как второй фактор), то перехватить его зловреду на смартфоне становится невозможно и популярный вектор атак закрывается. Ну вот как показывает практика и в прошивку можно засунуть всякие интересные злоумышленниках штуки.

Что делать? Видимо действительно не брать совсем уж noname в сомнительных магазинах. Звонилка от Nokia (уже китайской, но все ещё большой) купленная в магазине крупной сети должна быть относительно безопасна.

В целом же это такая вульгарная вариация атаки на цепочку поставок. И решения должны быть примерно схожими."

——

В текущих реалиях все же очень желательно, чтобы такое устройство было спроектировано и произведено в России. Только это делает его насколько возможно доверенным. Кажется в эту сторону Касперские сейчас и работают. По моему мнению за это вполне имеет смысл переплачивать. И какие-то функциональные ограничения устройства на фоне существующих угроз уже перестают играть существенную роль, а возможно даже в плюс идут.

Вообще скверно у нас обстоят дела с awareness, если вчерашнее интервью Натальи Касперской выстреливает чуть ли не как федеральная новость

Вообще скверно у нас обстоят дела с awareness, если вчерашнее интервью Натальи Касперской выстреливает чуть ли не как федеральная новость. "Смартфоны в России могут быть заблокированы". Да неужели. Конечно могут! Странно предполагать, что если вы сами можете зайти на сайт Google или Apple, авторизоваться и заблочить свой потерянный/украденный смартфон/планшет, то вендор не сможет сделать то же самое по своему усмотрению и в любое время. Более того, если устройство стучится до каких-либо сервисов вендора (а оно стучится), это вполне может быть каналом скрытого управления и в т.ч. для блокировки. И с устройствами под Windows/MacOS та же история. Может только с Linux чуть получше, хотя относительно самых популярных и распространенных дистрибов я бы не стал утверждать с уверенностью. Даже до тех хостов, которые не в сети теоретически можно добраться через обновления и добавить зловредную функциональность с отложенной активацией а-ля олдскульный вирус «Чернобыль» (Virus.Win9x.CIH). Пади проверь, чего они там проносят в сотнях патчей каждый месяц. А уж сколько может быть закладок, через который можно будет проломить периметр организаций. Дух захватывает!

Короче, на случай серьезного кибер-конфликта, дело будет дрянь. Как минимум от краткосрочного эффекта мы все точно офигеем. То, что сейчас мы этого пока ещё не наблюдаем можно объяснить лишь тем, что эскалация не дошла до нужного уровня. Но то, что зарубежные недружественные вендоры, когда будет нужно, прогнутся и бахнут - вообще без вопросов. Поэтому обсуждение отечественных ОС, в том числе мобильных, или ОС дружественных стран конечно может восприниматься с некоторым скепсисом, но вообще это дело стратегически правильное и нужное, и респект тем, кто в разработке этих штук задействован.

Ну и само интервью кстати вполне годное. Хорошо сказано про сложность поиска закладок, про ограничения сертификации, про 30 лет всеобщего внедрения иностранного ПО, в т.ч. в образовании. А про смартфоны там буквально несколько слов в самом конце, с 14:46. 🙂

У Алексея Лукацкого сегодня был интересный пост про "H.R.7900 - National Defense Authorization Act for Fiscal Year 2023"

У Алексея Лукацкого сегодня был интересный пост про "H.R.7900 - National Defense Authorization Act for Fiscal Year 2023". Длиннющий документ. Местами видимо интересный. Если в PDF выгружать, то там 3854 страницы. Слово "Russia" там встречается 281 раз. Солидно. 🙂 "China" только 130 раз.

Алексей Викторович обратил внимание, что теперь согласно "SEC. 6722. DHS SOFTWARE SUPPLY CHAIN RISK MANAGEMENT." контракторам Department of Homeland Security (DHS) придется собирать зависимости их продуктов в "bill of materials" и доказывать сертификатом, что ни в одной из зависимостей нет ни одной уязвимости из NVD. Не то, что там критичных уязвимостей нет, а вообще никаких CVE нет!

Практика занимательная. Учитывая с какой скоростью выходят новые уязвимости это получается, что по-хорошему нужно будет постоянно пересобирать продукт и тестить, что ничего не разъехалось, чтобы к моменту сертификации быть максимально свеженькиими и неуязвимыми. Сомневаюсь, что кто-то реально сможет честно пройти такую сертификацию буквально так, как это написано. Но если да, было бы интересно посмотреть на этих монстров разработки, тестирования и автоматизации. 🙂 Хотя по сути так было бы правильно.

Ну и там вроде не конкретизировано кто и как именно должен процедуру сертификации проводить, так что могут быть нюансы. 😏

Но меня больше зацепило, что там речь идет не только об NVD, но и

"(B) any database designated by the Under Secretary, in coordination with the Director of the Cybersecurity and Infrastructure Security Agency, that tracks security vulnerabilities and defects in open source or third-party developed software."

Это что такое? Это просто вставочка на будущее, типа вдруг когда-нибудь сделают ещё какую-нибудь базу? Или есть какая-то ещё база уязвимостей Open Source софта разработанная DHS и CISA, которая не в паблике? Загадочно. 🙂

PS: Надо бы тамошним законодателям рассказать, что у каждого item в "bill of materials" могут быть свои зависимости, и в этих зависимостях могут быть (и есть) уязвимости, а для самого item-а в NVD об этом никакой информации не будет. Как не было отдельной CVE под каждый софт уязвимый Log4Shell. Даешь "bill of materials" для каждого item-а и тотальный разбор этой адской матрешки! Муа-ха-ха! 😈

Microsoft продолжают чудачить

Microsoft продолжают чудачить. Принесли новую уязвимость. Проигрывание музыкального клипа Janet Jackson - Rhythm Nation (1989) ломает некоторые жесткие диски в некоторых ноутбуках ~ 2005-го года выпуска. Причем не только если клип проигрывается на самом устройстве, но и просто на соседнем устройстве. Есть в этом клипе какие-то частоты, которые с чем-то там в жестком диске резонируют. 😄 Звучит как лютый бред, но вот CVE-шка есть, CVE-2022-38392:

"A certain 5400 RPM OEM hard drive, as shipped with laptop PCs in approximately 2005, allows physically proximate attackers to cause a denial of service (device malfunction and system crash) via a resonant-frequency attack with the audio signal from the Rhythm Nation music video."

Заведена по посту в майкрософтовском блоге. Пишут, что неназванный "major computer manufacturer" зафиксил уязвимость добавлением кастомного аудио-фильтра:

"The manufacturer worked around the problem by adding a custom filter in the audio pipeline that detected and removed the offending frequencies during audio playback."

На самом деле демонстирует отсутствие какого-либо входного барьера при заведении CVE. CVE Numbering Authorities могут завести практически что угодно, с каким-угодно обоснованием, вплоть до совсем анекдотических.

Чуть больше месяца назад на форуме "Иннопром-2022" Евгений Касперский анонсировал "операционную систему для компьютеров и смартфонов, которая была бы доступна и рядовым пользователям"

Чуть больше месяца назад на форуме "Иннопром-2022" Евгений Касперский анонсировал "операционную систему для компьютеров и смартфонов, которая была бы доступна и рядовым пользователям". Без технических подробностей и сроков. И вот вчера на форуме "Армия-2022" (!) он выдал некоторые подробности по поводу проекта мобильной ОС. Ясности не особенно прибавило, но если раньше можно было предположить, что это будет чуть допиленный AOSP, то сейчас похоже, что это будет более загадочная штука. И фокус на работе с КИИ.

"Там еще не до конца готов функционал. … Мы писали все с самого нуля, поэтому еще нужно доделывать. Камера не работает. Мы делаем, но это требует времени. Плюс производительность - там еще есть работа, чтобы он работал с той же скоростью, к чему мы привыкли. Там куча всяких технических проблем, с которыми мы потихонечку справляемся. Когда мы его покажем и скажем, что вот, готово - не знаю"

"При этом мы не рассматриваем его как замену обычному смартфону. Все-таки это больше для работы с критической инфраструктурой. … Современность требует того, чтобы управлять инфраструктурой можно было и удаленно. Поэтому требуется устройство, которое будет гарантируемо невзламываемо. Поэтому мы делаем такое устройство, у которого будет достаточно ограниченный функционал. Там не будет App Store, там не будет фишек, которые все любят на смартфонах, но это будет штука, которой можно будет безопасно управлять условной турбиной"

Можно ли на основе этого предположить, что на смартфоне будут запускать ту самую кибериммунную KasperskyOS с некоторым графическим интерфейсом? Было бы логично и круто, но пока кажется, что все же нет, это будет другой проект. Если бы да, то не было бы смысла об этом умалчивать, а наоборот было выгодно это всячески подчеркивать, чтобы привлечь внимание к существующим проектам на KaspoerskyOS. Так ведь?

Также не факт, что этот смартфон для КИИ и общедоступная "операционная система для компьютеров и смартфонов" это один и тот же проект.

И даже если защищенный смартфон от ЛК в обозримом будущем появится, не факт что его дадут приобрести физикам. Вполне может быть как с Аврора ОС, которая сейчас позиционируется как "Корпоративная. Защищенная. Своя." и устройства с ней вроде как есть, но "поставляются только юридическим лицам". И возможно это даже оправдано. Кому хочется разгребать негатив от неадекватных пользователей, который купили устройство без понимания зачем оно им. Всякое такое: "почему так дорого, если на али такое же с Андройдом в 2 раза дешевле", "почему так медленно", "почему так мало приложений", "почему камера не как в айфоне". Это понятно. Но то, что при этом и гиков оставляют за бортом как-то грустненько. 🙂

Поделюсь свежими впечатлениями после мероприятия Код ИБ Безопасная Среда "Управление уязвимостями"

Поделюсь свежими впечатлениями после мероприятия Код ИБ Безопасная Среда "Управление уязвимостями". Было круто, всем спасибо. мне всё понравилось. 🙂 Разом +50 подписчиков в телеграмм канал @avleonovrus тоже неплохо так. Добро пожаловать и спасибо за подписку!

1. По структуре мероприятия. По-моему, довольно удачно получилось совместить интересы спонсора, уважаемой компании Spacebit представляющей новое решение по контролю безопасности конфигураций X-Config, и при этом пройтись по всем болевым точкам Vulnerability Management процесса. Тема контроля мисконфигураций мне очень близка. В начале своей профессиональной деятельности я 3 года писал в Positive Technologies проверки по Nix-овым CIS-бенчмаркам для MaxPatrol 8. Я выступаю за то, чтобы критичные мисконфигурации рассматривались как уязвимости и с ними работали в рамах общего VM процесса. Не так часто удается подсветить именно эту тему с контролем конфигураций, а в рамках этого мероприятия это было более чем органично. За что Spacebit и Код ИБ большое спасибо!
2. Хорошо прошлись по теме того, что в тех же CIS Benchmarks зачастую зафиксированы требования, которые на реальную защищенность влияют примерно никак. Кажется, нам нужны стандарты получше, в которых будет меньше требований, но все они будут подробно и убедительно обоснованы с точки зрения противодействия атакующим.
3. Прошлись по уязвимостям, которые часто используются в атаках. Я вкинул недавнюю статистику Palo Alto. Словил критику от коллег, что, по их мнению, компании в основном ломают через веб и опять-таки мисконфиги, а не инфраструктурные уязвимости. А если не брать периметр, то через фишинг. Спорить не буду. Статистикой можно крутить как угодно, и она будет зависеть от экспертизы конторы, которая исследования проводит.
4. Я как обычно слегка эпатажно выступал за то, что приоритизировать уязвимости вообще не нужно, а нужно патчить всё. В идеале. Потому что данные по уязвимостям у нас неполные и нет достаточных оснований, чтобы наплевать на рекомендации вендора, которые он дал, включив уязвимость в бюллетень безопасности. Но если патчить всё невозможно, то, конечно, можно и пориоритизировать учитывая всякие разные факторы. Но моё мнение, что обязательно нужно подчеркивать — это не норма, это вынужденная мера, вызванная невозможностью запатчить всё, что нужно. А почему запатчить всё невозможно? Почему это вызывает боль? Это подводит нас к зрелости процесса патчинга, к размышлению о том, как его правильно организовать и автоматизировать.
5. Очень здорово, что мы коснулись Asset Management процесса, без которого нет смысла ни контролировать мисконфигурации, ни уязвимости. Иначе мы просто будем оставлять без внимания самое адище, которым обязательно воспользуются злоумышленники. Я под это дело добавил и про то, что нужно понимать не только какие хосты у нас есть, но и то какие софты у нас используются и как они установлены. Это для того, чтобы выяснить, желательно ещё на уровне пилота, а умеет ли VM решение детектировать уязвимости для этих софтов или нет. А если какие-то софты не поддерживаются, то нужно думать, как и чем это компенсировать. Очень доволен, что удалось вставить про полноту баз знаний VM-решений и высказаться достаточно подробно.
6. Непосредственно по теме взаимодействия ИТ и ИБ мне высказаться не удалось, очередь не дошла. Но я, конечно, за крепкую дружбу и сотрудничество. Как Кирилл Ермаков очень правильно сказал, "мы (ИБшники) на самом деле те же самые ITшники" просто у нас чуть-чуть другой фокус и специализация. Мы в одной лодке, должны говорить на одном языке и стараться друг другу облегчить жизнь. А если будет вражда, то есть сотни способов саботажа ИБ процесса со стороны IT. Это никому не понравится.

Вот это, наверное, основное, что запомнилось и на что хотелось бы обратить внимание. Может ещё что-то вспомню, когда будет видео. Обещают на следующей неделе.