Decyzja zapadła: pod koniec 2019 r. serwis Google+ zostanie wyłączony. To pokłosie artykułu w Wall Street Journal, w którym ujawniono, że potentat na rynku wyszukiwania ukrywał fakt istnienia bardzo poważnego błędu w swojej sieci społecznościowej. Błąd ten mógł otworzyć przed złośliwym oprogramowaniem furtkę pozwalającą wydobywać z profili dane użytkowników: imię i nazwisko, płeć, adres e-mail, zawód oraz wiek. Co gorsza, firma Google nie potrafi sprecyzować, do ilu profili się włamano, ponieważ dzienniki są przechowywane tylko przez dwa tygodnie.

Decyzja o wyłączeniu Google+ zapadła po zakończeniu kompleksowej kontroli o nazwie Project Strobe. Kontrola ujawniła istnienie groźnej luki w API Google+, która mogła umożliwić aplikacjom dostęp do niepublicznych danych z profili. Zagrożenie dotyczyło jednak tylko danych statycznych, a także publikowanych wiadomości, komunikatów, danych kont Google oraz numerów telefonów. Zawartość należąca do innych produktów pakietu G Suite była bezpieczna.

Zaskoczenie może budzić fakt, że firma Google postanowiła nie informować o błędzie, a odpowiednią poprawkę wdrożyła dopiero w marcu 2018 r., mimo że luka mogła się pojawić już w roku 2015. Dział Google zajmujący się ochroną prywatności i danych postanowił powstrzymać się od działania z powodu braku dowodów na niedozwolone wykorzystanie odkrytego błędu. Ostatecznie firma Google podjęła decyzję o wyłączeniu konsumenckiej wersji Google+, przy czym zaważył tu także fakt, że sieć nie odniosła sukcesu komercyjnego. Google+ dla firm pozostanie w ofercie dostępnych produktów.

Dziewiąta generacja procesorów Intel odporna na luki znane od dekad

Firma Intel bez nagłaśniania tego faktu wdrożyła zabezpieczenia sprzętowe, które ochronią procesory 9. generacji przed znanymi od 23 lat lukami bezpieczeństwa. Luki, znane pod kryptonimami Meltdown i Spectre, dotyczą niemal wszystkich procesorów najważniejszych producentów i mogą pozwalać aplikacjom na wykradanie informacji z pamięci CPU.

Mimo nazw budzących skojarzenia z przygodami agenta Bonda Meltdown i Spectre zdecydowanie nie należą do świata fikcji i stanowią realne zagrożenie. Odkryte w 2017 r. błędy powstały w wyniku użycia techniki optymalizacji zwanej „wykonywaniem spekulatywnym”. Dzięki niej procesory mogą decydować, które informacje mają najwyższą wagę, i przygotowywać je wcześniej na wypadek, gdyby miały się okazać potrzebne. Niewykorzystane informacje są przez procesor po prostu ignorowane.

Należący do Google zespół Project Zero odkrył dwie metody uzyskania niepowołanego dostępu do tych informacji. Pierwsza z nich została ochrzczona mianem „Meltdown” (stopienie), ponieważ za pomocą techniki wykonywania spekulatywnego „roztapia” zabezpieczenia procesora. Druga, którą nazwano Spectre (zjawa), używa tej samej techniki, by podstępnie nakłonić programy do ujawniania poufnych informacji. Choć luka Spectre jest o wiele trudniejsza do wykorzystania niż Meltdown, to jednocześnie trudniej się przed nią zabezpieczyć. W poprzednich pokoleniach procesorów ochrona przed tymi lukami była realizowana z użyciem poprawek programowych, ale w najnowszej generacji swoich jednostek Intel zastosuje już zabezpieczenia sprzętowe.

Słabe hasła będą nielegalne w Kalifornii

Stan Kalifornia przyjął projekt ustawy, która wprowadzi obowiązek stosowania silnych haseł w urządzeniach. Projekt nosi nazwę Information Privacy: Connected Devices Bill i ma drogą prawną wymusić na producentach urządzeń stosowanie bardziej niezawodnych zabezpieczeń, w tym funkcji, która przy pierwszym uruchomieniu urządzenia będzie żądała od użytkownika zmiany domyślnego hasła.

Słabe hasła są najsłabszym ogniwem łańcucha zabezpieczeń, co czyni z nich pierwszy obiekt ataku. Współczesne złośliwe oprogramowanie, takie jak botnety z Internetu rzeczy (IoT) oraz programy ransomware, często stara się złamać słabe hasła metodą siłową i w ten sposób uzyskać pole do rozpoczęcia ataku. Urządzenia mobilne i Internet rzeczy z każdym dniem stają się coraz bardziej wszechobecne, więc słabe hasła mogą się okazać wyjątkowo niszczycielskie. Ustalono także, że zagrożenie dotyczy nie tylko IoT, urządzeń przenośnych i komputerów, ale również przemysłowych systemów sterowania, ponieważ ich operatorzy często nie zmieniają domyślnych danych logowania. Projektowana ustawa ma zacząć obowiązywać w 2020 r.

„To może wszystko zmienić”, mówi Luis Corrons, specjalista ds. zabezpieczeń Avast. „Większość problemów, które dotyczą dziś urządzeń korzystających z sieci, bierze się stąd, że producenci dostarczają je z domyślnymi hasłami. W ten sposób cyberprzestępcy mogą dziecinnie łatwo uzyskać do nich dostęp”. „Co prawda efekty planowanych działań staną się wyraźnie widoczne dopiero w średniej i długiej perspektywie czasowej, ale ustawa przyniesie bardzo pozytywne skutki — szczególnie jeśli inne stany i kraje zdecydują się pójść w ślady Kalifornii”. komentuje, specjalista ds. zabezpieczeń Avast, Luis Corrons.

Nowatorska akcja hakerów — ujawniono ataki na cele rządowe

Analitycy trafili na ślad nowej grupy hakerskiej, która uprawia szpiegostwo na skalę międzynarodową, wykorzystując do tego celu produkty konsumenckie. Hakerzy ci przeprowadzają ataki, korzystając z bezpłatnych zasobów, takich jak platforma Metaspoilt (służąca do testów penetracyjnych zabezpieczeń), WinZip, Rex Powershell czy kody z serwisu Github.

Uważa się, że grupa znana obecnie pod nazwą Gallmaker jest wspierana przez rząd i aby nie ściągać na siebie podejrzeń, celowo unika korzystania ze zwykłego złośliwego oprogramowania oraz niestandardowych narzędzi. Większość jej celów stanowią zagraniczne ambasady określonych państw Europy Wschodniej oraz obiekty wojskowe na Bliskim Wschodzie. W sposobie działania grupy dają się dostrzec pewne prawidłowości, które podsunęły analitykom myśl, że może ona być związana ze strukturami rządowymi.

Ataki grupy Gallmaker rozpoczynają się od kampanii wysyłania e-maili spearphishingowych, w których znajdują się treści dotyczące wojska, administracji publicznej i dyplomacji. Same wiadomości nie zawierają złośliwego oprogramowania. Hakerzy starają się za to wykorzystać lukę w zabezpieczeniach protokołu Dynamic Data Exchange (DDE) pakietu MS Office i uzyskać dostęp do komputera. Po otwarciu dokumentu-przynęty użytkownik widzi prośbę o włączenie wyświetlania „zawartości chronionej”, co powoduje uruchomienie protokołu DDE i pozwala napastnikom zdalnie przesyłać polecenia do zaatakowanego systemu.

„Ataki bez użycia złośliwego oprogramowania to nie taka znów nowość” mówi Corrons. „W sektorze małych i średnich firm oraz korporacji obserwujemy je już od pewnego czasu. W większości przypadków chodzi o zaawansowane ataki mające ściśle określony cel”. Corrons nie kończy jednak na tym. „Stosowane przez organizacje rozwiązania zabezpieczeń muszą być wyposażone w moduł analizy behawioralnej”, podkreśla. „Przykładem może być firma Avast, gdzie analiza ta stanowi jedną z wielu warstw zabezpieczeń. Nie musimy polegać na mechanizmach, które sprawdzają, czy jeden lub drugi plik jest złośliwy. Już sam fakt wykrycia złośliwego zachowania powoduje zablokowanie takiego pliku, nawet jeśli odpowiedzialna za nie aplikacja nie jest złośliwym oprogramowaniem”.

Avast to globalny lider w zakresie oprogramowania zabezpieczającego, zapewniający ochronę setkom milionów użytkowników na całym świecie. Dowiedz się więcej o produktach, które chronią Twoje zasoby cyfrowe, odwiedzając stronę avast.com. Na naszym blogu blog.avast.com znajdziesz najnowsze informacje na temat aktualnych cyberzagrożeń i poznasz skuteczne rozwiązania.