4. Подозрительный трафик или перемещение данных. Это также является косвенным признаком того, что сеть вашей компании плотно обхаживают. Трафик, идущий на неизвестный узел в сети, перемещение различных групп файлов между компьютерами (не свойственное в обычное время) – все это говорит, вернее, уже кричит об опасности.
5. Некий блок данных находится не там, где ему надлежит – тоже сигнал для тревоги. Особенно если этих данных на этом сетевом узле быть не должно, к примеру, на компьютере менеджера по отпуску продуктов окажется база бухгалтерской документации. Таким образом злоумышленники обычно готовят базу данных для хищения (пересылки на свои компьютеры), и если вы грамотно настроили сетевую инфраструктуру, то необходимо и следить за компьютерами сотрудников. А слежение как раз необходимо для контроля за безопасностью сетевой инфраструктуры.
Подытоживая, можно сказать: АРТ-атака есть один из страшных снов системного администратора. Ее невозможно предсказать или остановить одним мановением руки, но можно предотвратить, хоть это и затребует много времени и сил. Однако можно предупредить ее развитие и существенно замедлить ее ход путем противодействия техникам социальной инженерии. А этому сотрудников можно обучить, а также поддерживать полученные ими знания путем проведения тренингов.
HLS-атаки
Этот раздел я посвящаю любителям скачивать плейлисты или видеоролики из сети Интернет. С появлением домашних медиацентров, поддерживающих потоковый аудио- или видеоконтент из Сети, многие злоумышленники обратили свой взор и на них. Дело в том, что многие медиапроигрыватели, а также подключаемые к ним устройства воспроизведения имеют как минимум службы авторизации на сервисах, что позволяет, при должном умении, воровать и распространять ставший пиратским контент. А стало возможным это благодаря вредоносным программным кодам, которые внедряют в сам плейлист, маскируя их под адресацию доступа к файлу, находящемуся на серверах. Медиапроигрыватель, получая такой файл в плейлисте, понимает его как самостоятельный файл в списке и начинает попытки его воспроизвести, тем самым активируя вредоносный код.
Каким будет этот код, неизвестно. Он может получать доступ к данным пользователей для авторизации на веб-сервисах, а может и использовать микрофоны или веб-камеры, которыми оснащены некоторые телевизоры или медиацентры. Учитывая, что некоторые пользователи Сети используют для доступа к потоковому медиа такие устройства, как умные колонки, а то и вовсе компьютеры, вариантов проникновения в частную жизнь получается огромное множество. Зависят они не только от методов проникновения, но и от операционной системы, установленной на устройстве, к примеру, своеобразными «чемпионами» в этом антирейтинге станут устройства под управлением операционной системы Windows, второе место займут устройства под управлением операционной системы Android, третье и ниже по списку будут занимать устройства под управлением специфичных операционных систем, установленных на телевизорах или медиацентрах от различных брендов. Именно такое положение вещей рисует нам мировая статистика.
Следует понимать: я не хочу запугать читателя, но любое устройство, которое имеет доступ к интернету, может быть использовано злоумышленниками в своих целях. Надо учитывать и то, что антивирусная защита не всегда является панацеей, достаточно перечитать текст чуть выше, и вам станет понятно, что злоумышленники иногда очень находчивы и будут использовать любые обнаруженные уязвимости системы в свою пользу. Хотя не стоит и отвергать антивирусные программы так явно – как-никак, а до 98 % угроз они все-таки выявляют и тем обеспечивают достаточно высокий уровень защиты от различных сетевых и локальных угроз. Используя антивирусное ПО на тех системах, куда его установка возможна, вы можете спасти не только свои данные, но и здоровье, ибо их утечка и дальнейшее использование третьими лицами вполне способны нарушить нормальную работу вашей нервной системы.
Но как быть тем, кто не может установить антивирусную защиту на устройства, потому что для этих операционных систем нет соответствующего ПО? В таких случаях можно попробовать жесткие настройки маршрутизатора, которые ограничивают доступ к устройству извне. Как это сделать, вы можете прочитать в инструкции к вашему маршрутизатору. Некоторые пользователи устанавливают на устройство операционную систему OpenWRT, которая дает несколько больший функционал по безопасности сети и самого маршрутизатора. Однако разобраться в ней достаточно тяжело, и погружаться в эти недра, не имея понятий об основах, крайне не рекомендуется.
Bluffs
В конце 2023 года французский исследовательский центр Eurecom (от фр. École d’ingénieurs et centre de recherche en systèmes de communication – Высшая инженерная школа и исследовательский центр коммуникационных систем) опубликовал результаты исследования современных стандартов технологии bluetooth. Они, мягко говоря, не радуют – оказывается, в составе технологии есть более десятка различных уязвимостей, которые можно использовать для проведения атак типа man in the middle (MitM), что позволяет злоумышленникам перехватывать ваши данные в реальном времени.
Все выявленные эксплойты (зловредные программные коды) были обнаружены в различных версиях bluetooth, начиная с 4.2 – устаревшие версии протокола эксперты не рассматривали в силу их нераспространенности. Они касаются двух ранее известных недостатков технологии, относящихся к процедуре создания ключей для обмена и шифрования информации, передаваемой по каналу связи. Причем установлено, что выявленная проблема не что иное, как глубоко запрятанная на аппаратном уровне недоработка создателей технологии, поэтому считать какое-то устройство не подверженным этой проблеме нельзя.
Метод, предположительно используемый киберпреступниками (на сегодня нет ни одного громкого случая, подтверждающего эту уязвимость на деле), получил название BLUFFS (Bluetooth Forward and Future Secrecy Attacks and Defenses). Принцип его действия заключается в том, что злоумышленник, сумевший засечь активное соединение bluetooth, может перехватить два из четырех ключей авторизации соединяемых устройств, чтобы выдать свое устройство за подключаемое. Таким образом, скомпрометировав одно из подключающихся устройств, злоумышленник получает и оставшихся два ключа, служащих для шифрования и расшифровки передаваемых пакетов с данными. Причем после разовой операции злоумышленник сможет и дальше эксплуатировать уже атакованное ранее устройство – ключи первичной авторизации, находящиеся в памяти устройства-получателя, позволят подключаться вновь и вновь…
Разумеется, устройство-получатель, которое использует злоумышленник, должно находиться в радиусе действия bluetooth-передатчика жертвы, так что нередко подобная атака проводится в результате сталкинга, своеобразного метода цифрового преследования жертвы. Целью этого процесса будет, как вы поняли, сбор максимально доступной информации, которую впоследствии можно будет использовать против жертвы – к примеру, можно взломать устройство жертвы и собрать некий «компромат», который в дальнейшем может стать прекрасным рычагом давления на психику будущей жертвы.
Представленный Eurecom отчет содержал сразу шесть возможных сценариев проведения атаки BLUFFS.
– Подмена идентификаторов транзакции между устройствами.
– Подмена идентификатора периферийного устройства-получателя.
– Сеанс атаки MitM, в котором одна жертва поддерживает Legacy Secure Connection.
– Подмена идентификатора центрального устройства в защищенной транзакции на устройстве жертвы.
– Подмена идентификатора периферийного устройства жертвы по защищенному соединению.
– Сессия MitM, на которой оба устройства используют защищенное соединение для одновременной передачи данных между устройствами.
Наряду с выявлением уязвимостей протокола соединения Eurecom представила и свои рекомендации для их устранения. Они предложили сделать следующее.
1. Ввести использование только одноразовых ключей авторизации, чтобы никто посторонний не мог использовать их для генерации ключей, когда устройство будет соединяться в следующий раз.
2. Устройства должны авторизоваться только после подтверждения ключей, не побывавших в кеше диверсификаторов bluetooth-модулей.
3. Разработать и внедрить новые методы диверсификации ключей авторизации, а также ввести их в кеш-устройства для подключения к другим bluetooth-модулям.
4. Разработать и внедрить новые алгоритмы шифрования данных на криптографическом уровне для невозможности использования украденных данных на посторонних устройствах.
К слову, разработчики Bluetooth (объединение экспертов Blutetooth SIG) приняли к сведению отчет французских специалистов и пообещали исправить недостатки в будущих версиях программного обеспечения для устройств беспроводной связи. Однако никаких конкретных заявлений про сроки реализации будущих изменений компания на момент написания книги не делала.
Как можно защититься от подобных взломов на данный момент? На самом деле 100 %-й защиты от подобных атак на данный момент не существует, поэтому я обойдусь лишь рекомендацией не включать bluetooth без нужды и как можно меньше использовать этот протокол для передачи данных между устройствами. В противном случае никто не сможет гарантировать безопасность ваших данных, ведь теоретически каждый человек в вашем окружении может быть цифровым преступником.
Voltschemer и все-все-все
В феврале 2024 года киберпреступность шагнула на новый уровень – некогда фантастические «боевые» вирусы стали доступны рядовым злоумышленникам в Сети. Открытие сделали исследователи из Университета Флориды совместно с аудиторской компанией CertiK: они обнаружили, что в некоторых случаях злоумышленники предпочитали уничтожать мобильные устройства, нанося тем самым материальный ущерб своим жертвам. И используется в этих целях адаптер беспроводного зарядного устройства для смартфонов, следовательно, сами атаки тоже ориентируются на смартфоны.