- PVSM.RU - https://www.pvsm.ru -
Сразу две популярные новости на этой неделе поднимают важную тему оценки серьезности уязвимостей в частности и определения безопасности софта или железа вообще. По порядку: 3 октября основатель сервиса SSLMate Эндрю Айер сообщил об уязвимости в демоне инициализации systemd (новость [1], оригинальный пост Айера [2]). Уязвимость типа denial of service эксплуатируется только локально. Любой пользователь введя команду NOTIFY_SOCKET=/run/systemd/notify systemd-notify “” может подвесить систему. Баг, вызванный неправильной обработкой сообщения нулевой длины, и уже закрытый [3], просуществовал в systemd два года, начиная с версии 209.
Имея массу примеров для сравнения (Shellshock [4], например, или тот же Heartbleed [5]), можно вполне уверенно утверждать, что это далеко не самый ужасный в мире баг. Тем не менее, срач обсуждение проблемы получилось масштабное. Причина в доступном описании бага: «можно подвесить систему сообщением, которое помещается в один твит». И в резкой реакции [6] CTO компании Pantheon, активно поддерживающего systemd. Далее везде, вплоть до нового витка обсуждения личности создателя systemd (не буду его называть, а то и здесь начнется).
В общем, обсуждали все, что угодно, только не сам баг, который, действительно, не так уж ужасен, хотя и серьезен. Это действительно важная тема: по уязвимостям пытаются судить о качестве продукта. Типичный пример такого подхода — рейтинги софта [7] с наибольшим количеством обнаруженных дыр. Попробую предложить свою трактовку: уязвимость — это в большинстве случаев просто уязвимость, и само по себе обнаружение проблемы никак не квалифицирует софт или железку. А чтобы обосновать это утверждение, нам понадобится обсудить роутер D-Link.
Исследователь нашел 20 уязвимостей в роутере D-Link DWR-932B
Новость [8]. Исследование [9].
Исследователь Пьер Ким провел анализ роутера D-Link DWR-932B [10] с точки зрения безопасности. Данный роутер представляет собой портативное устройство со встроенным 4G-модемом. Результаты исследования показали, что защита устройства, скажем так, далека от идеала. Автор высказывается более прямо и предлагает просто избавляться от таких устройств — дескать, ничего уже не поделаешь. Детали уязвимостей можно посмотреть по ссылкам выше, я просто приведу краткую выжимку:
— Вшитый пароль администратора при доступности подключения по telnet и ssh по умолчанию
— Бэкдор, позволяющий контролировать устройство вообще без пароля
— Зашитый дефолтный PIN для подключения по WPS
— Генерация PIN по предсказуемому алгоритму (на основе текущего времени). Актуально в случае, если владелец все же активирует процедуру генерации в веб-интерфейсе, иначе — см. предыдущий пункт
— Зачем-то в прошивку вшит аккаунт на сервисе No-IP (динамический DNS)
— Много разных уязвимостей в веб-интерфейсе
— Загрузка обновлений по HTTP, при авторизации на сервере с дефолтным вшитым паролем (предусмотрено подключение по HTTPS, но срок действия сертификата истек)
— Небезопасная реализация протокола uPnP
Аргументация Пьера Кима следующая: с роутером можно делать все, что угодно, вплоть до подмены прошивки. Последнее вряд ли понадобится, так как перехватить контроль можно и иными способами. В новости приводится интересная предыстория работ Кима (D-Link стал не первой «жертвой» исследователя) и примеры сложностей, с которыми сталкиваются разработчики роутеров, особенно когда речь идет о моделях, снятых с производства. В данном случае, кстати, в D-Link говорят об этом же, хотя на сайте компании модель обозначена как актуальная.
Возвращаюсь к своему тезису. В большинстве случаев уязвимость — это просто уязвимость, и она никак не характеризует софт или устройство. В современных реалиях инфобезопасности вряд ли получится делать софт, абсолютно лишенный багов. Характеристика вендора, с точки зрения безопасности, складывается из того, как компания реагирует на информацию об уязвимостях, насколько быстро и эффективно закрывает их. В любом случае единых правил оценки софта, сервисов, устройств даже по этим критериям пока нет.
А неплохо было бы.
Обнаружена уязвимость в системе удаленного управления инсулиновыми помпами OneTouch Ping
Новость [11]. Исследование [12] Rapid7.
Закончим более оптимистичным примером взаимодействия исследователя, вендора и даже госрегулятора. Хотя повод, откровенно говоря, удручающий. Компания Rapid7 обнаружила уязвимость в инсулиновых помпах OneTouch Ping, выпускаемых компанией Animas Corp., подразделением Johnson & Johnson. Небезопасный протокол взаимодействия между инъектором и пультом дистанционного управления позволяет изменять параметры работы медицинского устройства.
Пульт и помпа общаются по радиоканалу на частоте 900 Мгц, при соединении обмениваются ключами, но недостаточно защищенный алгоритм позволяет перехватить контроль и, как минимум, расшифровать передаваемую информацию о состоянии устройства. Есть и более простой способ: в Rapid7 выяснили, что устройство никак не защищено от повторного воспроизведения коммуникации между легальным пультом и помпой. То есть возможна атака, когда с настоящего пульта передается команда на увеличение дозы инсулина, а с «поддельного» она воспроизводится повторно, с теоретически возможностью передозировки медикамента.
И исследователи, и вендор утверждают, что вероятность применения атаки на практике небольшая. Для этого нужно находиться в непосредственной близости от владельца устройства (около 3 метров), хотя повторное воспроизведение данных можно успешно провести более мощным передатчиком хоть за километр. Производитель начал рассылать клиентам рекомендации по устранению риска: можно отключить возможность дистанционного управления в принципе. Кроме того, можно запрограммировать предупреждение при выходе дозировки лекарства за безопасные пределы.
Совсем устранить уязвимость сразу не получится, так как помпа не имеет подключения к интернету (и хорошо, пожалуй, что не имеет). Действия компании-исследователя (они раскрыли информацию только сейчас, хотя обнаружили проблемы еще в апреле) и вендора были позитивно оценены регулятором — американским госагентством Food and Drug Administration. Для сравнения можно упомянуть пример неправильного подхода к исследованиям уязвимостей в медицине. Этим летом компания MedSec нашла уязвимость в кардиостимуляторах, но почему-то раскрыла информацию не производителю, а инвестиционной компании, которая и обнародовала данные (теперь там все безнадежно погрязли в судебных тяжбах).
Уж где эталонная безопасность точно нужна, так это в медицинских устройствах.
Что еще произошло:
Yahoo обвиняют [13] в потакании американской разведке (массовая слежка за почтовой перепиской). Самая громкая новость недели, но без реальных фактов и подтверждений с чьей-либо стороны.
Одна из самых мощных DDoS-атак, произошедшая [14] две недели назад, действительно проводилась ботнетом из IoT-устройств (конкретно — веб-камер). А тут еще кто-то выложил [15] исходники кода, использующегося для автоматического поиска и взлома уязвимых устройств.
«Stone-Sex-a,-b»
Поражают диски при обращении к ним (int 13h, ah = 2, 3). Сохраняют старое содержимое изменяемых секторов (Boot-сектор у флоппи-диска и MBR у винчестера) по адресу 1/0/3 (головка/трек/сектор) для дискет или 0/0/8 (0/0/7 в зависимости от версии вируса) для винчестера. При загрузке с зараженного флоппи-диска с вероятностью 1/3 сообщают:
«Stone-Sex-a» — «EXPORT OF SEX REVOLUTION ver. 1.1»
«Stone-Sex-b» — «EXPORT OF SEX REVOLUTION ver. 2.0»
Цитата по книге «Компьютерные вирусы в MS-DOS» Евгения Касперского. 1992 год. Страницa 98.
Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.
Автор: «Лаборатория Касперского»
Источник [16]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/d-link/196664
Ссылки в тексте:
[1] новость: https://threatpost.com/hack-crashes-linux-distros-with-48-characters-of-code/121052/
[2] пост Айера: https://www.agwa.name/blog/post/how_to_crash_systemd_in_one_tweet
[3] закрытый: https://github.com/systemd/systemd/issues/4234
[4] Shellshock: https://en.wikipedia.org/wiki/Shellshock_(software_bug)
[5] Heartbleed: https://en.wikipedia.org/wiki/Heartbleed
[6] резкой реакции: https://medium.com/@davidtstrauss/how-to-throw-a-tantrum-in-one-blog-post-c2ccaa58661d#.mphskkqg7
[7] рейтинги софта: http://www.gfi.com/blog/2015s-mvps-the-most-vulnerable-players/
[8] Новость: https://threatpost.ru/backdoored-d-link-router-should-be-trashed-researcher-says/18437/
[9] Исследование: https://pierrekim.github.io/blog/2016-09-28-dlink-dwr-932b-lte-routers-vulnerabilities.html#backdoor
[10] DWR-932B: http://www.dlink.com/uk/en/support/product/dwr-932-4g-lte-mobile-wi-fi-hotspot-150-mbps
[11] Новость: https://threatpost.com/vulnerabilities-in-insulin-pumps-can-lead-to-overdose/121064/
[12] Исследование: https://community.rapid7.com/community/infosec/blog/2016/10/04/r7-2016-07-multiple-vulnerabilities-in-animas-onetouch-ping-insulin-pump
[13] обвиняют: https://threatpost.ru/yahoo-slams-email-surveillance-story-experts-demand-details/18496/
[14] произошедшая: https://threatpost.ru/brajan_krebs_pod_obstrelom_novyj_ddos-rekord/18282/
[15] выложил: https://threatpost.ru/source-code-released-for-mirai-ddos-malware/18444/
[16] Источник: https://habrahabr.ru/post/311958/?utm_source=habrahabr&utm_medium=rss&utm_campaign=best
Нажмите здесь для печати.