Na semana passada, não houve notícias sobre segurança da informação digna de uma descrição detalhada no resumo. Isso não significa que nada aconteceu - tal situação parece ser completamente impossível. Quem simplesmente não invadiu. Bem, em compensação à
obra anterior sobre um ataque teórico em rede aos espectros de hoje, falaremos sobre dois ataques reais e um circo com cavalos com a participação de John McAfee.
O Reddit foi hackeado simplesmente. Isso é não, não é assim. O Reddit, como uma comunidade bastante específica, e bastante popular ao mesmo tempo, provavelmente está exposto a absolutamente todos os tipos possíveis de ataques cibernéticos e é realmente muito bem protegido. Essa conclusão pode ser tirada de uma história absolutamente honesta sobre um recente ataque bem-sucedido e do fato de que no passado parece não ter existido tais histórias. O ataque foi complicado, mas é fácil descrever o motivo do hack bem-sucedido: eles contornaram a autenticação de dois fatores.
O Reddit postou uma descrição detalhada do incidente (Capitão!)
No Reddit .
Aqui você pode ler a recontagem em russo. Os funcionários da empresa tomaram conhecimento do ataque em 19 de junho. De 14 a 18 de junho, os atacantes tiveram acesso parcial à infraestrutura interna da organização, invadindo várias contas de funcionários. Todas as contas com acesso a informações importantes foram protegidas pelo 2FA, mas conseguiram contorná-las usando a interceptação de SMS.
Os detalhes dessa interceptação não foram divulgados, embora uma observação no site da Wired
sugerisse que havia um cartão SIM duplicado. Esse ataque pode ser detectado mais rapidamente, especialmente se várias contas forem roubadas. De uma forma ou de outra, os crackers obtiveram acesso parcial ao armazenamento em nuvem. Lá, eles acessaram um banco de dados com logins, endereços e senhas salgadas dos usuários do Reddit até 2007 (o Reddit foi lançado em 2005). Todas as mensagens do usuário foram armazenadas lá, incluindo mensagens privadas, mas apenas nos dois primeiros anos de existência do site.
Assim, os primeiros usuários do Reddit sofreram mais. Além disso, foi obtido acesso aos logs do servidor de correio. A partir deles, você pode descobrir quem recebeu a lista de endereços do site de 3 a 17 de junho de 2018. O problema é que esses logs podem ser usados para associar um nome de usuário no Reddit a um endereço de correspondência: essas informações podem ser usadas posteriormente - por exemplo, para ataques de phishing. O que foi feito? Foram tomadas medidas para evitar um novo ataque, incluindo a transição para a autenticação de dois fatores usando tokens físicos. Graças à autorização usando tokens, desde o início de 2017, o Google
não registrou um único ataque de phishing bem-sucedido.
200 mil roteadores MikroTik estão infectados por um mineiro→
NotíciasEm abril deste ano, uma vulnerabilidade de dia zero foi
descoberta e fechada nos roteadores MikroTik. Um erro na implementação do sistema de controle remoto Winbox tornou possível extrair um banco de dados do usuário no qual havia informações suficientes para obter controle completo sobre o roteador. A vulnerabilidade da época já era explorada pelos atacantes, mas a escala do ataque era pequena. O patch que cobre o problema foi lançado em 24 horas, mas todos sabem com que
rapidez os proprietários de roteadores, mesmo os profissionais, atualizam o software.
Na semana passada, o site BleepingComputer coletou informações de três fontes diferentes e contou até duzentos mil roteadores Mikrotik hackeados usando a vulnerabilidade de abril e incorporou o código do minerador de criptomoeda Coinhive em páginas da web. Ou seja, todos os usuários conectados ao roteador invadido começam a arrendar seu poder de computação para alugar para mineração. O ataque funciona nos dois sentidos: se um site estiver hospedado "atrás do roteador", seus visitantes também receberão uma carga prejudicial no código do site. Em alguns casos, o código do minerador não foi inserido em todas as páginas da web, mas apenas naquelas geradas pelo próprio roteador, por exemplo, mensagens de erro sobre o acesso ao site. O mecanismo de pesquisa de IoT da Shodan indexa 1,7 milhão de roteadores Mikrotik visíveis na web. Com base nesta figura, pode-se observar uma parcela bastante séria de dispositivos já infectados e oportunidades para expandir a botnet de criptomoeda.
Saga de carteira inquebrável de criptomoedaOk, isso não é uma saga, é uma piada. Qualquer área da economia nacional se torna mais divertida se John McAfee estiver envolvido nela. Em 27 de julho, o fundador da McAfee Security, que recentemente voltou toda a sua atenção da segurança da informação para as criptomoedas, anunciou uma recompensa de US $ 100 mil por invadir a carteira de criptomoedas Bitfi.
A carteira Bitfi é anunciada como absolutamente segura, mas também um dispositivo conveniente para armazenar e trabalhar com chaves de acesso a criptomoedas. E o próprio John McAfee está promovendo ativamente o Bitfi como um dispositivo absolutamente inquebrável, daí a recompensa. A declaração da McAfee causou, digamos, maior frustração entre a comunidade de especialistas em segurança - por dois motivos. Em primeiro lugar, dizer que algo não pode ser hackeado é falta de educação. Em segundo lugar, as condições propostas pelo fabricante das carteiras Bitfi estão longe do programa padrão Bug Bounty. Os participantes são
convidados a comprar o Bitfi com uma chave "derramada", dando acesso ao dinheiro. Se essa chave puder ser roubada, uma criptomoeda "roubada" e cem mil dólares a partir de cima também serão consideradas uma recompensa.
Mas a segurança real não tem nada a ver com isso! Você pode criptografar dados, colocá-los em uma unidade flash USB e ninguém pode descriptografá-los sem uma chave. A linha inferior é a confiabilidade do dispositivo na prática ao acessar dados confidenciais. É possível interceptar um segredo durante a transmissão? Posso roubar um PIN para acessar minha carteira? Em teoria, é necessário responder à pergunta de como o dispositivo funcionará em condições reais, e não o quão bem o dinheiro criptografado criptografado estará nele.
Não que John McAfee e Bitfi como um todo parassem com isso. Alguns dias após o anúncio, a recompensa por quebrar a carteira foi aumentada para 250 mil dólares, mantendo as condições. Os pesquisadores do PenTestPartners no Twitter os culparam por competir com reivindicações da PenTestPartners. Em resposta a isso, o PenTestPartners
comprou o dispositivo e o desmontou. No interior foi encontrada uma plataforma de smartphone MediaTek ligeiramente despojada com Android modificado, com todas as “quase” backdoors internas
típicas de um smartphone chinês barato. Quando um
pesquisador holandês independente encontrou uma maneira bastante simples de obter direitos de superusuário no dispositivo, a questão da segurança da carteira poderia ser considerada encerrada. Mas Bitfi não desistiu:
Depois, temos um dispositivo no qual não há software e memória. Então, os direitos da raiz não permitem que você quebre a carteira. Devemos prestar homenagem: em algum momento, o Bitfi se desculpou pelo comportamento de um determinado funcionário responsável pelos tweets, parou de responder a todos de acordo com o modelo de "enganar a si mesmo", mas não melhorou. No momento da publicação, a história continua evoluindo: os pesquisadores desmontam a carteira de criptografia e encontram novos problemas, Bitfi e McAfee andam em um carrinho de propaganda em círculo.
Tudo isso, é claro, é incrivelmente ridículo se não fosse um pouco triste reduzir a qualidade da discussão sobre segurança ao nível de uma discoteca rural. Os padrões de segurança dos dispositivos, de carteiras criptográficas a
fechaduras e carros
inteligentes , não são particularmente definidos por ninguém. Embora a maioria das pessoas envolvidas na segurança da informação cumpra os padrões de decência, às vezes aparecem carteiras "inquebráveis", fechaduras "ultra confiáveis" e outros frutos de fantasias de marketing. No entanto, a realidade geralmente coloca tudo em seu lugar.
Isenção de responsabilidade: as opiniões expressas neste resumo nem sempre coincidem com a posição oficial da Kaspersky Lab. Caros editores, geralmente recomendam tratar qualquer opinião com ceticismo saudável.