Security Alert. What to Do After a Data Breach. PC World, октябрь 2011 г., с. 39.
Уходящий 2011 г. можно назвать годом похищения данных. В марте хакеры проникли в базы данных маркетинговой фирмы Epsilon и увели оттуда миллионы адресов электронной почты. (find.pcworld.com/72125). В апреле после взлома сети Sony PlayStation Network (find.pcworld.com/72121) злоумышленники получили доступ к учетным записям 77 млн. пользователей. А в июне хакерская группа LulzSec взломала сайт SonyPictures.com, завладев миллионом аккаунтов (find.pcworld.com/72123). Впоследствии информация о 50 тыс. учетных записей была опубликована в Сети.
Причем эти случаи -- только вершина айсберга, бреши же существуют повсеместно. И размещая там свои персональные данные, вы рискуете выставить их на всеобщее обозрение. Но можно предпринять ряд шагов, которые уменьшат вероятность возникновения потенциального ущерба.
Меняйте свои пароли. Первым делом нужно придумать для своего аккаунта на атакованном сайте новый пароль. Если та же учетная информация используется и на других сайтах, смените пароль и на них. О том, как создавать надежные пароли, можно прочитать в статье find.pcworld.com/72119.
Следите за попытками фишинга и вредоносной электронной почтой. Если ваш почтовый адрес попал к злоумышленникам (как в случае со взломом Epsilon), мошенники, спамеры и авторы вредоносных программ могут попытаться направить вам какие-то коварные письма (обычно именно так и бывает). В этом случае вы ощутите резкую вспышку спама. Как всегда, соблюдайте осторожность при получении подозрительных писем. Не открывайте присоединенные файлы, которых вы не запрашивали, даже если сообщения приходят от знакомых вам людей. Не осуществляйте переходы по ссылкам, находящимся в теле письма. Даже если внешне все выглядит вполне благопристойно, в итоге вы рискуете попасть на вредоносную веб-страницу, владельцы которой попытаются похитить ваши персональные данные или заразить ваш ПК вредоносной программой.
Проявляйте осторожность при получении подозрительной обычной почты. Если ваш адрес был похищен хакерами, киберпреступники могут попытаться выслать вам мошенническое письмо обычной почтой. Будьте настороже. Адекватно реагируйте на просьбы прислать деньги или сообщить свою персональную информацию. Если письмо приходит от организации, с которой вы поддерживаете отношения (например, от банка), но вы его не ждали и не заказывали, возьмите телефон и позвоните в эту организацию, набрав уже известный вам номер. По номеру, указанному в подозрительном письме, звонить не следует.
Следите за своими финансовыми операциями. Даже если ваша информация в ходе атаки не была похищена, преступники могут получить доступ к вашей кредитной карте и банковским учетным сведениям, заразив вредоносными программами ваш ПК, подключившись к банкомату или платежному терминалу кредитных карт, найдя утерянные документы, в которых присутствует конфиденциальная информация, или даже обработав нечистоплотного сотрудника модного ресторана.
Учитывая все это, необходимо постоянно контролировать состояние своего банковского счета и операции с кредитными картами. Узнавайте происхождение всех незнакомых платежей. Поинтересуйтесь, отправляет ли банк электронные сообщения на ваш адрес при регистрации операций с кредитной картой. Если есть подозрения, что ваши учетные сведения были украдены, можно закрыть существующие аккаунты и открыть новые.
Исправление ошибки перенаправления главной страницы в Skype
Компания Apple выпускает обновления для ликвидации уязвимостей в Safari и iOS.
Джеймс Малрой
Недавно компания Skype исправила ошибку, которая затрагивала главную страницу в приложении Skype для Windows. Атакующий мог инициировать посещение пользователями вредоносных сайтов. А компания Apple закрыла в iOS брешь, благодаря которой пользователи проводили «джейлбрейк» (официально не поддерживаемая Apple операция, которая позволяет открыть программному обеспечению полный доступ к файловой системе устройства) своих устройств.
Обнаружение уязвимости межсайтового скриптинга
Уязвимости межсайтового скриптинга (cross-site scripting, XSS) позволяют атакующим внедрять вредоносный текст на вполне легитимных веб-страницах. В середине июля представители Skype обнаружили наличие такой бреши в своем клиентском приложении. При наличии такой уязвимости пользователя можно перенаправить на вредоносный сайт или отобразить на его экране всплывающее рекламное окно. При этом атакующий должен присутствовать в списке разрешенных контактов пользователя.
За прошедшее время уязвимость в Skype уже успели устранить. А поскольку ошибка была со стороны сервера, ее исправление не потребовало от пользователей установки каких-либо обновлений. Однако разработчики все равно призывают установить самую последнюю версию программного обеспечения, потому что обновления, ликвидирующие бреши в системе безопасности и добавляющие новые функции, выпускаются довольно часто. Более подробная информация об обнаруженной уязвимости изложена в блоге Skype, посвященном вопросам безопасности (find.pcworld.com/72110).
Обновления Safari и iOS
Если у вас есть продукты Apple, имеет смысл убедиться в том, что на них установлены самые последние версии ПО. Компания Apple выпустила ряд обновлений, закрывающих обнаруженные бреши в системе безопасности браузера Safari и iOS.
В версиях Safari 5.0.6 и Safari 5.1 ликвидирована уязвимость, используя которую атакующий может запустить в вашей системе свой текст или аварийно завершить функционирование браузера (find.pcworld.com/72112). Помимо устранения брешей, в обновленной версии Safari 5.1 появились новые функции. Более подробную информацию о них можно получить по адресу apple.com/safari.
Недавно компания Apple выпустила обновление, ликвидирующее в браузере Safari для iOS уязвимость, связанную с управлением шрифтами и файлами PDF, которая использовалась в числе прочего и для «джейлбрейка» устройств Apple, включая iPhone и iPad (find.pcworld.com/72113). Заметьте, что открытие файлов PDF в других приложениях или из другого программного обеспечения не позволяет использовать указанную брешь. Компания Apple устранила аналогичную уязвимость в компоненте iOS CoreGraphics, который был задействован в организации просмотра файлов PDF. Кроме того, компания выпустила отдельное обновление для iOS, устранявшее бреши в системе обеспечения безопасности данных.
Также была ликвидирована уязвимость, связанная с открытием файлов PDF, в версии iOS 4.3.4, но для обеспечения безопасности данных необходимо обновить ОС до версии iOS 4.3.5. Для этого нужно подключить устройство Apple к компьютеру и запустить iTunes. Более подробная информация о выпущенных обновлениях мобильной операционной системы опубликована по адресу find.pcworld.com/72114 и find.pcworld.com/72115.
Уязвимости приложений, работающих с паролями
Элизабет Фиш
Если вы когда-либо вводили конфиденциальную информацию в форму на сайте, то вам должно быть известно, что пароль, как правило, маскируется другими символами, в качестве которых обычно выступают звездочки или точки. Сделано это для того, чтобы человек, стоящий у вас за плечом, не смог считать секретную информацию. Но исследователь вопросов безопасности Гарун Меер нашел способ, позволяющий увидеть замаскированный пароль.
Приложение ShoulderPad, разработанное Меером, с помощью камеры iPad снимает все, что происходит на экране другого устройства iPad или iPhone. Человеку, имеющему в своем распоряжении приложение типа ShoulderPad, достаточно просто подержать свой iPad над вашим экраном в момент ввода пароля, и вся ценная информация будет раскрыта. Как это происходит?
В момент нажатия очередной клавиши на виртуальной клавиатуре iOS она на мгновение подсвечивается. Программа ShoulderPad, используя алгоритм распознавания образов, отслеживает места появления синей подсветки и точно определяет, какие клавиши были нажаты. Более подробную информацию о функционировании ShoulderPad можно найти по адресу find.pcworld.com/72137.
К счастью, Меер не стал предлагать свое приложение широкой публике, но тем не менее оно открыло нам глаза на происходящее. Если вы полагаете, что эта потенциальная уязвимость -- хороший повод отказаться от устройств на платформе iOS, следует заметить, что сенсорными экранами Apple тема не исчерпывается. Исследователи одной итальянской компании утверждают, что аналогичную технику съемки через плечо (find.pcworld.com/72138) можно применять и к виртуальным клавиатурам смартфонов Android и BlackBerry.
Пока в телефонах с сенсорными экранами не перестанут подсвечиваться клавиши при их нажатии, перед вводом пароля пользователям всякий раз придется оглядываться, убеждаясь, что за плечом у них никого нет.
Исследователь Чарли Миллер обнаружил брешь в системе безопасности батарей портативных компьютеров Apple, позволяющую хакерам проводить успешные атаки.
Алекс Вавро
Внутри каждого компьютера находится целая сеть из крошечных сложных микросхем, называемых микроконтроллерами. Они управляют всем, начиная от батареи портативного компьютера и заканчивая автомобильными фарами. В принципе через микроконтроллеры можно незаметно подобраться и к вашей конфиденциальной информации.
Микроконтроллеры имеют собственный процессор и достаточный для выполнения простых программ объем памяти. Перепрограммировать их можно путем обновления содержимого ПЗУ устройства. Обычно производитель оборудования выпускает обновления для повышения производительности, но ничто не мешает хакеру имитировать подобные обновления и запустить в устройство вредоносный текст.
На проходившей в августе конференции Black Hat Чарли Миллер продемонстрировал процесс заражения портативного компьютера Apple через его батарею. Большинство батарей современных портативных компьютеров оснащены микроконтроллерами, которые следят за безопасной зарядкой и разрядкой элементов. К программному обеспечению микроконтроллера можно обращаться прямо с портативного компьютера вплоть до момента очистки памяти или переустановки операционной системы.
В процедуре установки как раз и заложена брешь, угрожающая конфиденциальной информации пользователя. Хакер, получивший доступ к вашему портативному компьютеру, может загрузить в микросхему батареи маленькую шпионскую программу, где она будет оставаться совершенно незамеченной. Затем вредоносную программу можно загрузить из батареи в компьютер. Для этого надо лишь найти в ОС уязвимость, которая позволит программному обеспечению батареи обмениваться текстом с компьютером.
Микроконтроллеры Texas Instruments, которые были извлечены Миллером из батарей Apple, защищены двумя паролями. Но разработчики Apple не стали менять пароли, введенные по умолчанию. В результате Миллер перепрограммировал батарею MacBook Air, используя пароли, взятые с веб-сайта Texas Instruments.
Некоторые производители батарей принимают необходимые меры предосторожности. Когда Миллер купил на eBay батарею с точно такой же микросхемой TI, он не смог обратиться к ПЗУ, потому что производитель поменял пароли. Пароли, изменяемые производителями в процессе обновления прошивки, хакеры могут узнать, используя методы обратного проектирования.
До сегодняшнего дня о кражах конфиденциальной информации или о запуске вредоносных программ через ПЗУ устройств никаких сведений не поступало. Мы попробовали связаться с представителями Apple и попросили их прокомментировать ситуацию, но ответа не получили. Миллер уведомил о своей находке как Apple, так и TI. Кроме того, он разработал программу CaulkGun (find.pcworld.com/72143), с помощью которой вы можете самостоятельно поменять пароли в батарее своего портативного компьютера. «После смены паролей с использованием CaulkGun вредоносные программы уже не смогут проникнуть в вашу батарею, -- заметил Миллер. -- Это хорошо. Плохо, что Apple в этом случае также не сумеет обновить ПЗУ источника питания».