Tidak ada berita minggu lalu tentang keamanan informasi yang layak untuk deskripsi rinci dalam intisari. Ini tidak berarti bahwa tidak ada yang terjadi - situasi seperti itu tampaknya sama sekali mustahil. Yang baru saja tidak hack. Nah, sebagai kompensasi untuk
karya sebelumnya tentang serangan teoretis seperti jaringan Spectre hari ini kita akan berbicara tentang dua serangan nyata dan satu sirkus dengan kuda dengan partisipasi John McAfee.
Reddit diretas dengan sederhana. Ya, tidak, tidak begitu. Reddit, sebagai komunitas yang agak spesifik, dan cukup populer pada saat yang sama, kemungkinan terkena semua jenis serangan cyber yang mungkin dan sebenarnya dilindungi dengan cukup baik. Kesimpulan ini dapat diambil baik dari cerita yang benar-benar jujur ββtentang serangan yang berhasil baru-baru ini, dan dari fakta bahwa di masa lalu tampaknya tidak ada cerita seperti itu. Serangan itu rumit, tetapi mudah untuk menggambarkan alasan peretasan yang berhasil: mereka menghindari otentikasi dua faktor.
Reddit memposting deskripsi rinci tentang insiden (Kapten!)
Pada Reddit .
Di sini Anda dapat membaca menceritakan kembali dalam bahasa Rusia. Karyawan perusahaan menyadari serangan itu pada 19 Juni. Dari 14 Juni hingga 18 Juni, penyerang memiliki akses parsial ke infrastruktur internal organisasi, membobol beberapa akun karyawan. Semua akun dengan akses ke informasi penting dilindungi oleh 2FA, tetapi mereka berhasil mengatasinya menggunakan intersepsi SMS.
Rincian intersepsi ini tidak diungkapkan, meskipun catatan di situs Wired
menunjukkan bahwa ada kartu SIM duplikat. Serangan semacam itu dapat dideteksi dengan lebih cepat, terutama jika beberapa akun dicuri. Dengan satu atau lain cara, cracker memperoleh akses parsial ke penyimpanan cloud. Di sana, mereka mengakses database dengan login, alamat, dan kata sandi hashed dari pengguna Reddit hingga 2007 (Reddit diluncurkan pada 2005). Semua pesan pengguna disimpan di sana, termasuk pesan pribadi, tetapi hanya dalam dua tahun pertama keberadaan situs.
Dengan demikian, pengguna Reddit paling awal paling menderita. Selain itu, akses ke log server surat diperoleh. Dari mereka, Anda dapat mengetahui siapa yang menerima milis situs dari 3 Juni hingga 17 Juni 2018. Masalahnya adalah log ini dapat digunakan untuk mengaitkan nama pengguna di Reddit dengan alamat surat: informasi ini dapat digunakan kemudian - misalnya, untuk serangan phishing. Apa yang telah dilakukan Langkah-langkah telah diambil untuk mencegah serangan kembali, termasuk transisi ke otentikasi dua faktor menggunakan token fisik. Berkat otorisasi menggunakan token, sejak awal 2017, Google
tidak mencatat satu serangan phishing yang berhasil.
200 ribu router MikroTik terinfeksi oleh penambangβ
BeritaPada bulan April tahun ini, kerentanan nol hari
ditemukan dan ditutup pada router MikroTik. Kesalahan dalam implementasi sistem kendali jarak jauh Winbox memungkinkan untuk mengekstrak basis data pengguna di mana terdapat cukup informasi untuk mendapatkan kendali penuh atas router. Kerentanan pada waktu itu sudah dieksploitasi oleh penyerang, tetapi skala serangannya kecil. Tambalan yang mencakup masalah dirilis dalam 24 jam, tetapi semua orang tahu seberapa
cepat pemilik perute, bahkan perute profesional, memperbarui peranti lunak.
Pekan lalu, situs web BleepingComputer mengumpulkan informasi dari tiga sumber berbeda dan menghitung hingga dua ratus ribu router Mikrotik yang diretas menggunakan kerentanan April dan menanamkan kode penambang cryptocurrency Coinhive di halaman web. Artinya, semua pengguna yang terhubung ke router yang diretas mulai menyewakan daya komputasi mereka untuk disewakan untuk penambangan. Serangan itu bekerja dua arah: jika sebuah situs web di-host "di belakang router", pengunjungnya juga mendapatkan beban berbahaya dalam kode situs. Dalam beberapa kasus, kode penambang tidak dimasukkan ke semua halaman web, tetapi hanya yang dihasilkan oleh router itu sendiri, misalnya, pesan kesalahan tentang akses ke situs. Mesin pencari IoT Shodan mengindeks 1,7 juta router Mikrotik yang terlihat dari web. Berdasarkan gambar ini, orang dapat mencatat bagian yang agak serius dari perangkat yang sudah terinfeksi, dan peluang untuk memperluas botnet cryptocurrency.
Cryptocurrency Saga Dompet Tidak Dapat DipecahkanOke, ini bukan hikayat, bukan lelucon. Setiap bidang ekonomi nasional menjadi lebih menyenangkan jika John McAfee terlibat di dalamnya. Pada 27 Juli, pendiri McAfee Security, yang baru-baru ini mengalihkan seluruh perhatiannya dari keamanan informasi ke cryptocurrency, mengumumkan hadiah sebesar $ 100 ribu karena meretas dompet cryptocurrency Bitfi.
Dompet Bitfi diiklankan sebagai benar-benar aman, tetapi juga perangkat yang nyaman untuk menyimpan dan bekerja dengan kunci akses cryptocurrency. Dan John McAfee sendiri secara aktif mempromosikan Bitfi sebagai alat yang benar-benar tidak bisa dipatahkan, karenanya hadiah. Pernyataan McAfee menyebabkan, katakanlah, meningkatnya frustrasi di kalangan komunitas pakar keamanan - karena dua alasan. Pertama, mengatakan bahwa sesuatu tidak bisa diretas adalah perilaku buruk. Kedua, kondisi yang diusulkan oleh produsen dompet Bitfi jauh dari standar program Bug Bounty. Peserta
diundang untuk membeli Bitfi dengan kunci "dituangkan" ke atasnya, memberikan akses ke uang. Jika kunci ini dapat dicuri, cryptocurrency "curian" dan seratus ribu dolar dari atas juga diperhitungkan sebagai hadiah.
Tetapi keamanan nyata tidak ada hubungannya dengan itu! Anda dapat mengenkripsi data, menaruhnya di USB flash drive, dan tidak ada yang bisa mendekripsi tanpa kunci. Intinya adalah seberapa andal perangkat bekerja dalam praktik saat mengakses data sensitif. Apakah mungkin untuk mencegat rahasia selama transmisi? Bisakah saya mencuri PIN untuk mengakses dompet saya? Secara teori, perlu untuk menjawab pertanyaan tentang bagaimana perangkat akan bekerja dalam kondisi nyata, dan bukan seberapa baik uang kripto terenkripsi akan terletak di atasnya.
Bukan berarti John McAfee dan Bitfi secara keseluruhan menghentikannya. Beberapa hari setelah pengumuman, hadiah untuk melanggar dompet dinaikkan menjadi 250 ribu dolar dengan tetap mempertahankan kondisinya. Para peneliti Twitter PenTestPartners menyalahkan mereka karena bersaing dengan klaim dari PenTestPartners. Menanggapi hal ini, PenTestPartners
membeli perangkat dan membongkarnya. Di dalamnya ditemukan platform smartphone MediaTek dengan sedikit stripping-down dengan Android yang dimodifikasi, dengan semua backdoor "hampir" bawaan yang
khas dari smartphone Cina yang murah. Ketika seorang
peneliti Belanda independen menemukan cara yang cukup sederhana untuk mendapatkan hak pengguna super pada perangkat, pertanyaan tentang keamanan dompet dapat dianggap tertutup. Tetapi Bitfi tidak menyerah:
Kemudian kami memiliki perangkat yang tidak memiliki perangkat lunak dan memori. Maka hak root tidak memungkinkan Anda untuk memecahkan dompet. Kita harus membayar upeti: pada titik tertentu, Bitfi meminta maaf atas perilaku karyawan tertentu yang bertanggung jawab atas tweet, berhenti merespons semua orang sesuai dengan templat "menipu dirinya sendiri", tetapi itu tidak membaik. Pada saat publikasi, ceritanya terus berkembang: para peneliti membongkar dompet crypto dan menemukan masalah baru, Bitfi dan McAfee mengendarai troli hype dalam lingkaran.
Semua ini, tentu saja, sangat menggelikan jika tidak sedikit sedih karena menurunkan kualitas diskusi tentang keamanan ke tingkat disko pedesaan. Standar keamanan perangkat, dari dompet crypto hingga
kunci pintar dan mobil, tidak secara khusus ditentukan oleh siapa pun. Meskipun sebagian besar dari mereka yang terlibat dalam keamanan informasi mematuhi aturan kesusilaan, kadang-kadang dompet yang "tidak bisa dipatahkan", kunci "sangat andal", dan buah-buah fantasi pemasaran lainnya muncul. Namun, kenyataan biasanya menempatkan segalanya pada tempatnya.
Penafian: Pendapat yang diungkapkan dalam intisari ini mungkin tidak selalu bertepatan dengan posisi resmi Kaspersky Lab. Para editor yang terhormat umumnya merekomendasikan untuk memperlakukan setiap pendapat dengan skeptis yang sehat.