La semaine dernière, aucune information sur la sécurité de l'information ne méritait une description détaillée dans le résumé. Cela ne veut pas dire qu'il ne s'est rien passé - une telle situation semble totalement impossible. Qui n'a tout simplement pas piraté. Eh bien, en compensation de l'
opus précédent sur un réseau théorique d'attaque semblable à un spectre, nous parlerons aujourd'hui de deux vraies attaques et d'un cirque avec des chevaux avec la participation de John McAfee.
Reddit a été piraté simplement. Ce n'est pas le cas. Reddit, en tant que communauté plutôt spécifique, et assez populaire en même temps, est probablement exposé à absolument tous les types de cyberattaques possibles et est en fait assez bien protégé. Cette conclusion peut être tirée à la fois d'une histoire absolument honnête au sujet d'une récente attaque réussie et du fait que, dans le passé, il ne semble pas y avoir eu de telles histoires. L'attaque a été compliquée, mais il est facile de décrire la raison du piratage réussi: ils ont contourné l'authentification à deux facteurs.
Reddit a publié une description détaillée de l'incident (capitaine!)
Sur Reddit .
Ici, vous pouvez lire le récit en russe. Des employés de l'entreprise ont pris connaissance de l'attaque le 19 juin. Du 14 au 18 juin, les attaquants ont eu un accès partiel à l'infrastructure interne de l'organisation, s'introduisant dans plusieurs comptes d'employés. Tous les comptes ayant accès à des informations importantes étaient protégés par 2FA, mais ils ont réussi à les contourner en utilisant l'interception de SMS.
Les détails de cette interception n'ont pas été divulgués, bien qu'une note sur le site Web de Wired
suggère qu'il y avait une carte SIM en double. Une telle attaque pourrait être détectée plus rapidement, surtout si plusieurs comptes étaient volés. D'une manière ou d'une autre, les crackers ont eu un accès partiel au stockage cloud. Là, ils ont accédé à une base de données avec les connexions, les adresses et les mots de passe hachés par le sel des utilisateurs de Reddit jusqu'en 2007 (Reddit a été lancé en 2005). Tous les messages des utilisateurs y ont été stockés, y compris les messages privés, mais seulement au cours des deux premières années d'existence du site.
Ainsi, les premiers utilisateurs de Reddit ont le plus souffert. De plus, l'accès aux journaux du serveur de messagerie a été obtenu. Vous pouvez y découvrir qui a reçu la liste de diffusion du site du 3 au 17 juin 2018. Le problème est que ces journaux peuvent être utilisés pour associer un nom d'utilisateur sur Reddit à une adresse postale: ces informations peuvent être utilisées plus tard - par exemple, pour des attaques de phishing. Qu'est-ce qui a été fait? Des mesures ont été prises pour empêcher une nouvelle attaque, notamment la transition vers une authentification à deux facteurs à l'aide de jetons physiques. Grâce à une autorisation utilisant des jetons, depuis début 2017, Google
n'a enregistré aucune attaque de phishing réussie.
200 mille routeurs MikroTik sont infectés par un mineur→
ActualitésEn avril de cette année, une vulnérabilité zero-day a été
découverte et fermée sur les routeurs MikroTik. Une erreur dans la mise en œuvre du système de contrôle à distance Winbox a permis d'extraire une base de données utilisateur dans laquelle il y avait suffisamment d'informations pour obtenir un contrôle complet sur le routeur. La vulnérabilité à cette époque était déjà exploitée par les attaquants, mais l'ampleur de l'attaque était faible. Le correctif couvrant le problème a été publié dans les 24 heures, mais tout le monde sait à quelle
vitesse les propriétaires de routeurs, même professionnels, mettent à jour le logiciel.
La semaine dernière, le site Web BleepingComputer a collecté des informations de trois sources différentes et compté jusqu'à deux cent mille routeurs Mikrotik piratés à l'aide de la vulnérabilité d'avril et incorporant le code mineur de crypto-monnaie Coinhive dans les pages Web. Autrement dit, tous les utilisateurs connectés au routeur piraté commencent à louer leur puissance de calcul à louer pour l'exploitation minière. L'attaque fonctionne dans les deux sens: si un site Web est hébergé «derrière le routeur», ses visiteurs reçoivent également une charge nuisible dans le code du site. Dans certains cas, le code mineur n'a pas été inséré dans toutes les pages Web, mais uniquement dans celles générées par le routeur lui-même, par exemple, des messages d'erreur sur l'accès au site. Le moteur de recherche IoT de Shodan indexe 1,7 million de routeurs Mikrotik visibles sur le Web. Sur la base de ce chiffre, on peut noter à la fois une part assez sérieuse d'appareils déjà infectés et des opportunités d'extension du botnet de crypto-monnaie.
Portefeuille incassable de la crypto-monnaieD'accord, ce n'est pas une saga, plutôt une blague. N'importe quel domaine de l'économie nationale devient plus amusant si John McAfee y participe. Le 27 juillet, le fondateur de McAfee Security, qui a récemment tourné toute son attention de la sécurité de l'information vers les crypto-monnaies, a annoncé une récompense de 100 000 $ pour le piratage du portefeuille de crypto-monnaie Bitfi.
Le portefeuille Bitfi est annoncé comme absolument sûr, mais aussi comme un appareil pratique pour stocker et travailler avec des clés d'accès aux crypto-monnaies. Et John McAfee lui-même promeut activement Bitfi comme un appareil absolument incassable, d'où la récompense. La déclaration de McAfee a provoqué, disons, une frustration accrue parmi la communauté des experts en sécurité - pour deux raisons. Tout d'abord, dire que quelque chose ne peut pas être piraté est de mauvaises manières. Deuxièmement, les conditions proposées par le fabricant des portefeuilles Bitfi sont loin du programme Bug Bounty standard. Les participants sont
invités à acheter Bitfi avec une clé «versée» dessus, donnant accès à de l'argent. Si cette clé peut être volée, une crypto-monnaie «volée» et cent mille dollars d'en haut sont également comptés comme récompense.
Mais la vraie sécurité n'a rien à voir avec ça! Vous pouvez crypter des données, les placer sur une clé USB et personne ne peut les décrypter sans clé. En fin de compte, la fiabilité de fonctionnement de l'appareil dans la pratique lors de l'accès à des données sensibles. Est-il possible d'intercepter un secret lors de la transmission? Puis-je voler un code PIN pour accéder à mon portefeuille? En théorie, il est nécessaire de répondre à la question de savoir comment l'appareil fonctionnera dans des conditions réelles, et non à quel point l'argent crypté crypté reposera dessus.
Non pas que John McAfee et Bitfi dans son ensemble l'aient arrêté. Quelques jours après l'annonce, la récompense pour avoir rompu le portefeuille a été portée à 250 000 dollars tout en maintenant les conditions. Les chercheurs de PenTestPartners sur Twitter leur ont reproché d'être en concurrence avec les revendications de PenTestPartners. En réponse à cela, PenTestPartners a
acheté l' appareil et l'a démonté. À l'intérieur, on a trouvé une plate-forme de smartphone MediaTek légèrement simplifiée avec Android modifié, avec toutes les portes dérobées intégrées «presque»
typiques d'un smartphone chinois bon marché. Lorsqu'un
chercheur néerlandais indépendant a trouvé un moyen assez simple d'obtenir les droits de superutilisateur sur l'appareil, la question de la sécurité du portefeuille pouvait être considérée comme close. Mais Bitfi n'a pas abandonné:
Ensuite, nous avons un appareil sur lequel il n'y a ni logiciel ni mémoire. Ensuite, les droits de la racine ne vous permettent pas de casser le portefeuille. Nous devons rendre hommage: à un moment donné, Bitfi s'est excusé pour le comportement d'un certain employé responsable des tweets, a cessé de répondre à tout le monde selon le modèle du «fou lui-même», mais cela ne s'est pas amélioré. Au moment de la publication, l'histoire continue d'évoluer: les chercheurs démontent le portefeuille crypto et trouvent de nouveaux problèmes, Bitfi et McAfee montent dans un chariot hype en cercle.
Tout cela, bien sûr, est incroyablement ridicule s'il n'était pas un peu triste de ramener la qualité de la discussion sur la sécurité au niveau d'une discothèque rurale. Les normes de sécurité des appareils, des portefeuilles cryptographiques aux
serrures intelligentes et aux voitures, ne sont pas particulièrement définies par quiconque. Bien que la majorité des personnes impliquées dans la sécurité de l'information se conforment aux normes de décence, des portefeuilles «incassables», des verrous «ultra-fiables» et d'autres fruits de fantasmes marketing apparaissent parfois. Cependant, la réalité met généralement tout à sa place.
Avis de non-responsabilité: les opinions exprimées dans ce recueil ne coïncident pas toujours avec la position officielle de Kaspersky Lab. Chers rédacteurs recommandent généralement de traiter toute opinion avec un scepticisme sain.