https://technet.micros...curity/3009008
http://googleonlinese...ng-ssl-30.html

Директор ФБР Джеймс Коми (James Comey) призвал ИТ-компании оставлять «дыры» («бэкдоры», лазейки) в своих потребительских продуктах, чтобы спецслужбы могли, в случае необходимости, получать доступ к данным пользователей.

«Правосудие может быть бессильно, если мобильный телефон или жесткий диск будет защищен», — сказал директор ведомства, публично обратившись к таким компаниям, как Apple и Google в Брукингском институте в Вашингтоне.

Коми поделился, что его тревожит отсутствие прописанных в законе правил работы ИТ-компаний, согласно которым они должны были бы оставлять в своих продуктах «бэкдоры» и сообщать о них спецслужбам.

В США существует закон о «Телекоммуникационном содействии правоохранительной системе» ( Communications Assistance for Law Enforcement Act — CALEA), согласно которому операторы и производители оборудования связи должны в обязательном порядке предоставлять спецслужбам возможность прослушки телефонных разговоров и перехвата данных в оборудованиях и сервисах.

С 2004 г. это обязаны делать не только операторы и телеком-компании, но и поставщики услуг VoIP, такие как Skype. Коми об этом не упомянул.

Директора ФБР беспокоит стремление крупнейших ИТ-компаний максимально защитить коммуникации своих клиентов. В прошлом месяце стало известно о том, что в iOS 8 шифрование находящихся в памяти мобильного устройства всех пользовательских данных будет включено по умолчанию.

Аналогичный уровень защиты введен корпорацией Google в ее новой платформе Android 5.0 Lollipop.

Коми говорит, что уважает руководителей Apple и Google. Это «хорошие люди», которые заботятся о пользователях на фоне скандальных открытый, сделанных Эдвардом Сноуденом (Edward Snowden). Но эти усилия, полное шифрование данных абонентов, могут создать рай для преступников. В конце сентября 2014 г. глава ФБР заявил, что эти усилия «позволят некоторым людям быть над законом».

Сноуден, которого упомянул глава ведомства, — бывший сотрудник Агентства национальной безопасности (АНБ) и Центрального разведывательного управления (ЦРУ) США, похитивший и раскрывший массу секретных сведений о работе этих двух агентств. Он покинул США и сейчас находится в Москве, получив недавно вид на жительство в России.

«Мы не требуем, чтобы производители оставляли нам лазейки, — оправдывается Коми. — Мы ходим входить через парадную дверь, чисто и прозрачно, всецело следуя букве закона». Под буквой закона он подразумевает, помимо прочего, судебные постановления, поясняет CNet.

Эксперты по безопасности отреагировали на заявления Коми критично. По их мнению, Коми не задумывается о том, что такие послабления в итоге сами по себе сыграют на руку злоумышленникам, так как они смогут беспрепятственно входить через те же «двери».

Ослабление защиты позволит «шпионам иностранных государств и преступникам» получать доступ к данным, как бы Коми не называл лазейки — «бэкдорами» или «парадными дверями», подчеркнул Кристофер Сойан (Christopher Soghoian), старший технолог Американского союза защиты гражданских свобод. «Директор ФБР не говорит о том, какие риски несут бэкдоры, он полностью игнорирует эти риски», — считает Мэтт Блейз (Matt Blaze), эксперт по криптографии из Пенсильванского университета.

Уязвимость появилась в коде приложений Windows ещё в 1996 году с выходом IE 3.0, где стал использоваться Visual Basic Script (VBScript). Атаки на основе этой уязвимости относятся к классу «манипуляции данными», то есть являются более редкой и более опасной техникой, чем «переполнение буфера» и другие классические способы взлома. Уязвимость связана с некорректной отработкой процедуры изменения размера массивов SafeArray, что позволяет незаметно сбивать адресацию и получать доступ к данным по любому адресу, а не только в рамках заданного массива.

Хакер также может использовать эту возможность для более сложных атак: например, запускать небезопасные скрипты с произвольными параметрами в обход систем контроля. Именно такую технику показал в этом году на конференции Black Hat USA китайский специалист по безопасности Ян Ю в своём докладе под названием «Vital Point Strike».

Что же касается экспертов из IBM X-Force, то они впервые обнаружили данную уязвимость ещё в мае этого года. За прошедшие месяцы они пока не наблюдали случаев эксплуатации данной уязвимости в полевых условиях. Однако авторы исследования подчёркивают, что уязвимость ещё не закрыта, и сейчас её активно изучают не только специалисты по безопасности, но и злоумышленники.

Все три продукта используют технологию hardware assisted (VT-x, AMD-V) аппаратной виртуализации. В ходе анализа этих решений исследователи сфокусировались на возможностях реализации различных сценариев атак, эксплуатации архитектурных уязвимостей, их причинах и следствиях. Экспертами Digital Security в перечисленных продуктах были найдены различные проблемы, от «побега» из sandbox до возможности полного отключения антивирусного продукта.

В частности, используя некоторые уязвимости и цепочки уязвимостей, возможно реализовать атаки на отказ в обслуживании, обход механизмов самозащиты (в ситуации, когда антивирусное обеспечение не детектирует вредоносную активность, хотя она производится). Кроме того, исследователи определили возможность злонамеренного использования ресурсов антивирусной программы, показав, как вредоносный код может существовать в sandbox продукта и при этом производить различную активность, в том числе: майнить биткоины, производить DoS-атаки на удаленные узлы. Также существующие уязвимости позволяют осуществлять «побег» из sandbox, а именно: через различные «дыры» и недочеты в архитектуре malware может выйти из ограниченного окружения и «вырваться» в основную ОС. И, наконец, экспертам Digital Security через использование проблем в защите трех указанных продуктов удалось осуществить полное отключение антивирусного ПО в отдельных случаях.

Полученные результаты исследования наглядно демонстрируют, что технологию аппаратной виртуализации часто используют некорректно и не по назначению, и это приводит к печальным последствиям. «Наша исследовательская команда старается быть всегда на острие атаки, а потому технологии аппаратной виртуализации, конечно, вызывают у нас большой интерес. Мы провели серьезную работу, показав, что неправильное, некорректное использование виртуализации может привести к снижению уровня безопасности», – прокомментировал результаты исследования директор исследовательского центра Digital Security Дмитрий Евдокимов.

Обо всех найденных недостатках, уязвимостях было сообщено разработчикам, они внесли необходимые изменения. В McAfee присвоили найденным ошибкам следующую классификацию (Security Bulletins ID): SB10086 . Пользователям рекомендовано произвести обновление ПО.
Подробные результаты исследования были представлены на конференции ZeroNights 2014 в презентации «Аппаратная виртуализация в антивирусных программах» Петра Каменского, исследователя ИБ Digital Security. С более глубокими техническими деталями можно ознакомиться здесь, скачав презентацию по ссылке: https://

Почтовый сервис Zoho, анонимная сеть Tor, компьютерное приложение для шифрования файлов Truecrypt и криптографический протокол Off-the-Record (OTR) для обмена мгновенными сообщениями оказались «крепкими орешками» для Агентства национальной безопасности США: оно либо не смогло их взломать, либо этот процесс оказался крайне сложным — следует из новой порции документов, обнародованной бывшим системным администратором агенства Эдвардом Сноуденом (Edward Snowden) и опубликованных журналом Der Spiegel.

Документы раскрывают информацию о внутренней классификации веб-сервисов, компьютерных приложений и протоколов, которые АНБ взламывает по долгу своей службы — чтобы наблюдать за террористами, преступниками и рядовыми гражданами США и иностранных государств, в том числе России.

Наиболее сложные сервисы и технологии классифицируются как «major». Именно к таким относятся вышеперечисленные Zoho, Tor, Truecrypt и OTR.

Сообщения, зашифрованные с помощью протокола OTR, были переданы АНБ одним из участников программы PRISM. И агенство «не смогло найти метод их декодирования». Что это была за компания, не уточняется. Впервые о программе стало известно в июне 2013 г. Тогда сообщалось, что в ней принимают участие девять крупнейших американских корпораций, включая Google, Facebook, Apple, Microsoft и AOL.

Но существует в классификации АНБ и более высокий уровень защиты, он называется «catastrophic». Это пятый последний уровень. К нему не относятся конкретные сервисы или приложения — а их совместное использование. Например, если человек пользуется анонимной сетью Tor, еще одним дополнительным анонимайзером, сервисом обмена мгновенными сообщениями CSpace и протоколом IP-телефонии ZRTP, то уровень взлома такого пользователя с целью наблюдения будет «catastrophic». Это означает, что АНБ «практически не будет иметь возможность прослушки и наблюдения» за таким человеком.

Один из разработчиков протокола ZRTP — Филипп Циммерман (Philip Zimmermann). Более 20 лет назад он создал технологию шифрования электронной почты PGP. Данная технология также представляет для американской разведки существенную сложность. В документах говорится, что агенство не смогло найти способ прочесть сообщение, закодированное при помощи PGP, которое оно получило от компании Yahoo. Примечательно, что в тех же документах упоминается, что PGP используется самими спецслужбами альянса Five Eyes, в который входят США, Канада, Великобритания, Австралия и Новая Зеландия.

Более низкие уровни защиты в АНБ классифицируются как «moderate», «minor» и «trivial». Российская почтовая служба Mail.Ru относится к классу «moderate», то есть для ее взлома пришлось приложить определенные усилия, но существенных проблем не возникло. Доступ к чатам Facebook и их запись — такая задача для агенства оказалась более легкой (градация «minor»), а отслеживание маршрута файла в интернете — самой простой из возможных («trivial»).

Таким же легким для АНБ является взлом виртуальных частных сетей (VPN), используемых предприятиями и правительствами (например, Греции) для закрытых коммуникаций между различными офисами и подразделениями. Все данные в таких сетях направляются через туннели, защищенные шифрованием. «Однако защита в виртуальных сетях оказалась такой же, как и сами сети — виртуальной», — иронизирует журнал. Агенство построило серьезный проект, посвященный взлому каналов VPN, и сейчас это процедура для него не представляет каких-либо сложностей. В документе, датированном 2011 г., говорится, что АНБ планирует одновременно отслеживать до 20 тыс. VPN-соединений.