Security Week 45: Эфир замерз в кошельках, миллион фальшивых WhatsApp, бесполезная защита интеллектуальной собственности +10


В мире фанатов технологии блокчейн все очень просто и безопасно. Еще бы, ведь блокчейн так надежен сам по себе, что для обеспечения любых финансовых операций не требует ни регулятора в лице государства, ни банков, ни других надстроек. Мы не будем спорить с тем, что технология лишена многих недостатков и уязвимостей старого мира. Но это вовсе не означает отсутствия у нее собственных слабых мест, которые раньше и вообразить-то было невозможно. В общем, такое дело: из-за уязвимости, обнаруженной в популярном Ethereum-кошельке Parity, замороженными оказались средства в криптовалюте, которые, по разным оценкам, эквивалентны 150-300 миллионам долларов США.

Как это случилось? Пользователь devops199 сообщил о возможности уничтожить библиотеку Parity Wallet, что сделало недоступными все использующие ее multi-sig кошельки. С точки зрения Ethereum нет никакой разницы между аккаунтами, библиотеками или контрактами (всё это программы). У библиотеки Parity не было владельца. devops199 превратил ее в кошелек, стал владельцем, а потом удалил. Якобы случайно (верим-верим). После этого все кошельки с мультиподписью, которые были завязаны на эту библиотеку, стали недоступны.

Самое интересное, что совсем недавно, 19 июля, в кошельках Parity уже обнаруживалась уязвимость, позволившая украсть около 30 миллионов долларов. Тогда были скомпрометированы всего три кошелька, компания быстро выпустила новую версию библиотеки и вроде бы все исправила. Как видим – не все. Нынешняя проблема не приводит к утрате средств, но сам факт потери контроля над ними тоже не радует. Так, одним из пострадавших стал стартап Polkadot, который в середине октября провел ICO и собрал 145 миллионов долларов. 98 из них сейчас заморожены в кошельке Parity.

Разработчики Ethereum успокоили всех тем, что обнаруженная проблема не касается сети в целом, а «всего лишь» кодов смарт-контрактов, написанных поверх блокчейна. Но смарт-контракты Ethereum после активации изменить нельзя. Вообще. Совсем. Это же корневая особенность блокчейна. А раз так – нельзя изменить и баги, содержащиеся в них. Так что, скорее всего, для устранения проблемы потребуется хардфорк всей сети Ethereum.
Проблема хардфорка в том, что далеко не всегда все сообщество соглашается его принять. Как мы знаем, в результате такового мы уже имеем Ethereum и Ethereum Classic, и от последующих дроблений никто не застрахован. И, как заметил читатель поста на ThreatPost, именно поэтому он и предпочитает использовать физические бумажники, а не софтовые.

Миллион фальшивых WhatsApp’ов


Если поместить в Google Play нечто, перекликающееся дизайном и названием с популярным приложением, можно смело рассчитывать на некоторое количество установок по ошибке. Иногда на сотни, иногда на тысячи. А если ловко мимикрировать под настоящий хит, можно собрать жатву пообильнее. Так, на этой неделе из Google Play было удалено приложение Update WhatsApp Messenger, успевшее собрать миллион (!) скачиваний.
Само по себе это приложение мало что умело и обладало минимальными правами (только доступ в Интернет), но зато скачивало откуда-то по короткой ссылке приложение whatsapp.apk. После этого Update WhatsApp Messenger старался лишний раз не отсвечивать, даже не имея названия и иконки для рабочего стола.

После того, как Google предупредили о странном приложении, последнее было удалено из Play, а аккаунт его разработчика был заблокирован. Но тут обнаруживается еще одна пикантная деталь: этим самым разработчиком числилась… «WhatsApp Inc. ». Заметили разницу? Да, точно – лишний пробел после названия. Разработчик использовал код C2A0, так называемый неразрывный пробел, который не идентифицировался в качестве такового автоматическими фильтрами Google.

В мае 2017 года была запущена система Play Protect, регулярно сканирующая приложения в магазине на предмет зловредов и имеющая пиковую производительность 50 миллиардов приложений в сутки. По идее, она должна предотвращать появление в Google Play «оберток», скачивающих APK непонятно откуда. Но, похоже, человек пока хитрее роботов, как бы дорого они ни стоили.

Стоит заметить, что это не первый случай, когда нечистоплотные разработчики используют символы Unicode для обмана Google. Всего три недели назад похожим способом в магазин был заброшен фальшивый плагин AdBlock Plus, который до обнаружения и устранения успели скачать 37 тысяч раз. Там в названии использовался кириллический символ, прошедший сквозь фильтры Google, как раскаленный нож через кусок масла. Как бы Unicode в Play не запретили в принципе. От греха подальше…

Добро пожаловать в наши секреты!


Министерство внутренней безопасности США бьет тревогу. По данным академического исследования, стандарт P1735, разработанный Институтом инженеров электротехники и электроники для защиты авторских прав на программные и аппаратные продукты, не так надежен, как казалось раньше.

IEEE P1735 позволяет разным производителям создавать совместные продукты, не раскрывая друг другу всех деталей продуктов и технологий. И, таким образом, защищать собственные наработки от обратного инжиниринга и кражи. Благодаря IEEE P1735, код разных компаний может функционировать совместно, при этом оставаясь зашифрованным.

US-CERT (Компьютерная команда экстренной готовности США) сообщает, что методы шифрования, используемые в стандарте, не идеальны, и при неблагоприятном раскладе создают векторы атаки, позволяющие получить доступ к интеллектуальной собственности в незашифрованном виде. Реализации IEEE P1735 могут быть неустойчивы к криптографическим атакам, что, среди прочего, открывает доступ к интеллектуальной собственности без ключа шифрования.

Дыры в защите первыми заметили ученые Университета Флориды. Они подробно написали об этом в статье «Стандартизируя дурные криптографические практики» (Standardizing Bad Cryptographic Practice, осторожно PDF). Всего было обнаружено семь уязвимостей с рейтингом по шкале CVSS (Common Vulnerability Scoring System) от 5.7 до 6.3 баллов из 10 возможных.

Среди них:

  • неверное описание паддинга в режиме Cipher block chaining, позволяющее использовать средства автоматизации проектирования электроники (САПР) в качестве оракула расшифровки;
  • неправильный синтаксис языка описания аппаратуры (HDL), позволяющее использовать САПР в качестве оракула расшифровки;
  • модификация зашифрованных данных интеллектуальной собственности для внедрения аппаратных троянцев;
  • Подмена ответа license-deny на license grant;
  • И другие (полный список по ссылке).

Стандарт IEEE P1735 внедрен разработчиком САПР-систем Synopsys в среде разработки и отладки Synplify Premier. Но проблема может проявляться в продуктах других вендоров, в частности, Cadence Design Systems, Mentor Graphics, Xilinx и Zuken.

Современные программные и электронные продукты настолько сложны, что зачастую их просто нельзя сделать в одиночку. Сотрудничать надо, но делиться секретами даже с проверенным партнером ой как не хочется. Стандарт IEEE P1735 считался панацеей, но, как видим, и в нем есть прорехи. Причем, как считают исследователи, прорехи системного характера, не поддающиеся лечению простыми заплатками. Как сказал сантехник, победивший на конкурсе диссидентов, «Тут вам не прокладку, а всю систему менять надо!».

Древности


End-Of
Резидентный безобидный вирус, стандартно записывается в .COM-файлы текущего каталога при вызове функции DOS ChDir. В конце заражённых файлов можно найти строку «end-of». При инициализации своей TSR-копии пытается перейти в каталог «ЖМОБ». Перехватывает int 21h.

Цитата по книге «Компьютерные вирусы в MS-DOS» Евгения Касперского. 1992 год.

Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.




К сожалению, не доступен сервер mySQL