أسبوع الأمن 29. قرصنة Reddit ، وهي محفظة للعملات المشفرة وأجهزة التوجيه MikroTik

لم يكن هناك أخبار الأسبوع الماضي حول أمن المعلومات التي تستحق وصفا مفصلا في الملخص. هذا لا يعني أنه لم يحدث شيء - يبدو أن مثل هذا الوضع مستحيل تمامًا. الذين لم يخترقوا. حسنًا ، في التعويض عن التأليف السابق حول هجوم نظري شبكي شبكي ، سنتحدث اليوم عن هجومين حقيقيين وسيرك واحد مع الخيول بمشاركة جون مكافي.

تم اختراق Reddit ببساطة. لا ، ليس كذلك. Reddit ، كمجتمع محدد نوعًا ما ، وشائعًا جدًا في نفس الوقت ، ربما يتعرض على الإطلاق لجميع أنواع الهجمات الإلكترونية المحتملة وهو في الواقع محمي تمامًا. يمكن استخلاص هذا الاستنتاج من قصة صادقة تمامًا حول هجوم ناجح حديثًا ، ومن حقيقة أنه لم يكن هناك في الماضي مثل هذه القصص. كان الهجوم معقدًا ، ولكن من السهل وصف سبب الاختراق الناجح: لقد تحايلوا على المصادقة الثنائية.

نشر Reddit وصفا مفصلا للحادث (الكابتن!) على Reddit . هنا يمكنك قراءة الرواية باللغة الروسية. أصبح موظفو الشركة على علم بالهجوم في 19 يونيو. في الفترة من 14 حزيران (يونيو) إلى 18 حزيران (يونيو) ، كان للمهاجمين وصول جزئي إلى البنية التحتية الداخلية للمؤسسة ، مما أدى إلى اقتحام العديد من حسابات الموظفين. تم حماية جميع الحسابات التي يمكنها الوصول إلى المعلومات المهمة بواسطة 2FA ، لكنهم تمكنوا من الالتفاف عليها باستخدام اعتراض الرسائل القصيرة.

لم يتم الكشف عن تفاصيل هذا الاعتراض ، على الرغم من أن ملاحظة على موقع Wired تشير إلى وجود بطاقة SIM مكررة. يمكن الكشف عن مثل هذا الهجوم بسرعة أكبر ، خاصة إذا تمت سرقة عدة حسابات. بطريقة أو بأخرى ، حصلت البسكويت على وصول جزئي إلى التخزين السحابي. هناك ، قاموا بالوصول إلى قاعدة بيانات تحتوي على معلومات تسجيل الدخول والعناوين وكلمات المرور المجزأة لملح مستخدمي Reddit حتى عام 2007 (تم إطلاق Reddit في عام 2005). تم تخزين جميع رسائل المستخدم هناك ، بما في ذلك الرسائل الخاصة ، ولكن فقط في أول عامين من وجود الموقع.

وبالتالي ، عانى أقرب مستخدمي Reddit أكثر من غيرهم. بالإضافة إلى ذلك ، تم الحصول على الوصول إلى سجلات خادم البريد. من بينهم يمكنك معرفة من تلقى القائمة البريدية للموقع من 3 يونيو إلى 17 يونيو 2018. تكمن المشكلة في أنه يمكن استخدام هذه السجلات لربط اسم مستخدم على Reddit بعنوان بريدي: يمكن استخدام هذه المعلومات لاحقًا - على سبيل المثال ، لهجمات التصيد الاحتيالي. ما الذي تم فعله؟ تم اتخاذ تدابير لمنع إعادة الهجوم ، بما في ذلك الانتقال إلى المصادقة الثنائية باستخدام الرموز المادية. بفضل التفويض باستخدام الرموز المميزة ، منذ بداية عام 2017 ، لم تسجل Google هجوم تصيد ناجح واحد.


إصابة 200 ألف جهاز توجيه MikroTik بواسطة عامل منجم
→ أخبار

في أبريل من هذا العام ، تم اكتشاف ثغرة يوم صفر وإغلاقها على أجهزة توجيه MikroTik. جعل خطأ في تنفيذ نظام التحكم عن بعد Winbox من الممكن استخراج قاعدة بيانات مستخدم حيث كانت هناك معلومات كافية للسيطرة الكاملة على جهاز التوجيه. تم استغلال الثغرة الأمنية في ذلك الوقت من قبل المهاجمين ، لكن حجم الهجوم كان صغيراً. تم إصدار التصحيح الذي يغطي المشكلة في غضون 24 ساعة ، لكن الجميع يعرف مدى سرعة تحديث أصحاب أجهزة التوجيه ، حتى المحترفين منها ، للبرنامج.

في الأسبوع الماضي ، جمع موقع BleepingComputer معلومات من ثلاثة مصادر مختلفة وحساب ما يصل إلى مائتي ألف جهاز توجيه Mikrotik تم اختراقها باستخدام ثغرة أبريل ، وتضمين رمز Minhive لعملة التعدين في صفحات الويب. أي أن جميع المستخدمين المتصلين بجهاز التوجيه المخترق يبدأون في استئجار قوتهم الحاسوبية للإيجار للتعدين. يعمل الهجوم في كلا الاتجاهين: إذا تم استضافة موقع ويب "خلف جهاز التوجيه" ، فسيحصل زواره أيضًا على حمل ضار في رمز الموقع. في بعض الحالات ، لم يتم إدراج رمز المنجم في جميع صفحات الويب ، ولكن فقط في تلك التي تم إنشاؤها بواسطة جهاز التوجيه نفسه ، على سبيل المثال ، رسائل الخطأ حول الوصول إلى الموقع. يقوم محرك بحث Shodan IoT بفهرسة 1.7 مليون جهاز توجيه Mikrotik مرئي من الويب. استنادًا إلى هذا الرقم ، يمكن للمرء أن يلاحظ حصة خطيرة إلى حد ما من الأجهزة المصابة بالفعل ، وفرص توسيع شبكة الروبوتات المشفرة.

ساغا المحفظة غير قابلة للكسر


حسنًا ، هذه ليست ملحمة بل مزحة. تصبح أي منطقة في الاقتصاد الوطني أكثر متعة إذا شارك جون مكافي فيها. في 27 يوليو ، أعلن مؤسس McAfee Security ، الذي حول كل انتباهه مؤخرًا من أمن المعلومات إلى العملات المشفرة ، مكافأة قدرها 100 ألف دولار لاختراق محفظة Bitfi cryptocurrency.


يتم الإعلان عن محفظة Bitfi على أنها آمنة تمامًا ، ولكنها أيضًا جهاز مناسب لتخزين مفاتيح الوصول إلى العملات المشفرة والعمل عليها. وجون مكافي نفسه يروج بنشاط لبتفي كجهاز لا يمكن اختراقه على الإطلاق ، وبالتالي المكافأة. تسبب بيان مكافي ، على سبيل المثال ، في زيادة الإحباط بين مجتمع خبراء الأمن - لسببين. أولاً ، القول بأن شيئًا لا يمكن اختراقه هو سلوك سيء. ثانيًا ، الشروط التي اقترحتها الشركة المصنعة لمحافظ Bitfi بعيدة عن برنامج Bug Bounty القياسي. المشاركون مدعوون لشراء Bitfi مع "سكب" رئيسي عليه ، مما يتيح الوصول إلى المال. إذا كان من الممكن سرقة هذا المفتاح ، فإن عملة مشفرة "مسروقة" ومائة ألف دولار من الأعلى تعتبر أيضًا بمثابة مكافأة.


لكن الأمن الحقيقي لا علاقة له به! يمكنك تشفير البيانات ، ووضعها على محرك أقراص USB محمول ، ولا يمكن لأي شخص فك تشفيرها بدون مفتاح. خلاصة القول هي مدى موثوقية عمل الجهاز عمليًا عند الوصول إلى البيانات الحساسة. هل من الممكن اعتراض سر أثناء الإرسال؟ هل يمكنني سرقة PIN للوصول إلى محفظتي؟ من الناحية النظرية ، من الضروري الإجابة على سؤال حول كيفية عمل الجهاز في ظروف حقيقية ، وليس مدى كفاية أموال التشفير المشفرة عليه.

لا يعني ذلك أن جون مكافي وبيتي ككل أوقفاها. بعد أيام قليلة من الإعلان ، تمت زيادة مكافأة كسر المحفظة إلى 250 ألف دولار مع الحفاظ على الشروط. ألقى باحثو تويتر في PenTestPartners باللوم عليهم في التنافس على مطالبات PenTestPartners. ردا على ذلك ، اشترى PenTestPartners الجهاز وفككه. تم العثور في الداخل على منصة ذكية للهاتف الذكي MediaTek تم تجريدها قليلاً مع نظام Android المعدل ، مع جميع الخلفية الخلفية "تقريبًا" النموذجية للهاتف الذكي الصيني الرخيص. عندما وجد باحث هولندي مستقل طريقة بسيطة إلى حد ما للحصول على حقوق المستخدم الفائق على الجهاز ، يمكن اعتبار مسألة أمان المحفظة مغلقة. لكن بيتفي لم يستسلم:


ثم لدينا جهاز لا يوجد فيه برامج وذاكرة. ثم لا تسمح لك حقوق الجذر بتكسير المحفظة. يجب أن نشيد: في وقت ما اعتذر بيتيفي عن سلوك موظف معين مسؤول عن التغريدات ، وتوقف عن الاستجابة للجميع وفقًا لنموذج "الأحمق نفسه" ، لكنه لم يتحسن. في وقت النشر ، استمرت القصة في التطور: قام الباحثون بتفكيك محفظة التشفير والعثور على مشاكل جديدة ، وركوب Bitfi و McAfee في عربة الضجيج في دائرة.

كل هذا ، بالطبع ، أمر مثير للسخرية بشكل لا يصدق إذا لم يكن حزينًا قليلاً من خفض جودة المناقشة حول الأمن إلى مستوى الديسكو الريفي. لم يتم تحديد معايير الأمان للأجهزة ، من محافظ التشفير إلى الأقفال الذكية والسيارات ، بشكل خاص من قبل أي شخص. على الرغم من أن غالبية المشاركين في أمن المعلومات يمتثلون لمعايير اللياقة ، تظهر أحيانًا مثل هذه المحافظ "غير القابلة للكسر" ، والأقفال "الموثوقة للغاية" وغيرها من ثمار التخيلات التسويقية. ومع ذلك ، عادة ما يضع الواقع كل شيء في مكانه.

إخلاء المسؤولية: قد لا تتوافق الآراء الواردة في هذا الملخص دائمًا مع الموقع الرسمي لـ Kaspersky Lab. يوصي المحررون الأعزاء بشكل عام بمعالجة أي آراء مع شك صحي.