понедельник, 7 сентября 2015 г.

Два года падения Лиса


К вопросу о безопасности инфраструктуры разработки ПО (и ИБ-критичного ПО в частности к коим сейчас безусловно следует отнести браузеры).

Опубликована информация о взломе багтреккера Мозиллы. Злоумышленники получили доступ к закрытой информации об уязвимостях.

Немного фактов и статистики:


  • 110 из 185 уязвимостей  - относятся к ИБ. И это только по мнению разработчиков.
  • 53 критических уязвимости, 3 из которых "жили" в состоянии 1-day более 100 дней. 
  • Несанкционированный доступ продолжался 2 года (с сентября 2013)
  • В России замечено использование одной из уязвимостей для атак на браузер через вредоносный баннер (уязвимость устранена 27 августа)

По публикуемым отчетам не раскрываются следующие любопытные моменты:

  • Являлся ли доступ read-only или злоумышленники могли вмешиваться в обсуждения или принятие решений?
  • Какие исследования по результатам полученной информации могли дополнительно провести злоумышленники?
  • Фактор раскрытия информации о вовлечённых сотрудниках и возможности по соц.инженерии?
  • Какие системы инфраструктуры разработки могли быть дополнительно скомпрометированы, используя доступ или информацию получаемую из Багзиллы? Ждать, например, однажды весёлого апдейта?
  • Какие ещё вектора атак стали доступны для злоумышленника в результате анализа багов? Плагины например?   
  • Принятые контрмеры (в частности двухфакторная аутентификация) - насколько их будет достаточно в ситуации, если атака проводилась (может быть повторно проведена) через несанкционированный доступ к легитимному ПК или  смартфону (через который 2FA и ходит).
  • Сколько "закладок" (доп.учёток) оставил за 2 года злоумышленник (аккаунт привилегированный) и удалось ли их всех вычислить? В отчёте упоминается усиление аудита. 
Upd: Андрей Бешков напомнил не менее резонансную историю уже сервер-сайд. Инфраструктура, возможность положить свои скриптки на веб-сервер. Так недолго и весь Интернет обновить. Например запустив параллельно утку в твиттере. А что - биржи падают - и тут народ можно спровоцировать обновиться.


Источники: 
http://www.anti-malware.ru/news/2015-09-07/16770
http://arstechnica.com/security/2015/09/mozilla-data-stolen-from-hacked-bug-database-was-used-to-attack-firefox/
https://blog.mozilla.org/security/2015/09/04/improving-security-for-bugzilla/
https://ffp4g1ylyit3jdyti1hqcvtb-wpengine.netdna-ssl.com/security/files/2015/09/BugzillaFAQ.pdf
http://www.computerworld.com/article/2517227/enterprise-applications/apache-project-server-hacked--passwords-compromised.html