Security Week 09: Тяжесть уязвимости Cloudflare, приватность IoT-медвежат

День у директора отделения банка «Прорыв» Ивана Петровича Хататапасова не задался. Накануне прислали мутную и многоообещающую бумагу из центра о внедрении каких-то новых практик и метрик. С утра во двор банка заехал грузовик и прямо на землю выгрузил бесформенную кучу денег. По телефону Ивану Петровичу объяснили, что в рамках оптимизиции региональной сети небольшая часть средств будет временно храниться в данном отделении, за что Иван Петрович может получить комиссию: «Ну возьмите там ведро денег. Нет, расписок не нужно, но только одно ведро».

Просидев всю ночь с берданкой на куче бабла, Иван Петрович запротестовал, но ему дали понять, что это новая прогрессивная эджайл методика банкинга, инкорпорированная на основе лучших образцов мировых кейс стади, и нечего тут вообще возникать. Куча осталась без присмотра: ее удачно присыпало снегом, и в общем с улицы было не так заметно, хотя попытки пересчитать деньги все время давали разную сумму: непонятные молодые люди на грузовичках периодически что-то отвозили и привозили, считая на глазок.

То есть, кхм, о чем это я. Приведенный выше абсурд в контексте хранения персональных данных в сети регулярно превращается в суровую реальность: то у Yahoo! миллиарды! паролей! украдут!, то у Cloudflare в результате ошибки (новость ^[1]) важные данные распылит тонким слоем по сайтам клиентов и гуглу. Сегодняшний выпуск — про приватность. И правильную оценку рисков.

Что произошло у Cloudflare?
Все началось с этого твита:

Исследователь из команды Google Project Zero Тавис Орманди (про него я уже писал ранее ^[3]) нашел в инфраструктуре компании Cloudflare, предоставляющей услуги доставки контента, защиты от DDoS-атак и прочие, серьезную уязвимость. Описать ее простыми словами сложно, разве что только такими: «роботы сломались». Различные сервисы Cloudflare основаны на едином принципе: между сайтом и посетителем строится прослойка, через прокси передаются данные, в результате чего появляется возможность балансировать нагрузку, отсекать мусорный DDoS-трафик и так далее.

Именно с прокси-инфраструктурой, которая по сути общая для всех клиентов, и произошла проблема. Помимо передачи веб-страниц по пути от сервера к клиенту могла происходить их модификация: вставлялся код для аналитики, обфусцировались e-mail адреса и подобное. Процесс, управлявший модификацией на стороне прокси, имел в себе баг, который вставлял в код некий мусор. Как выяснил Тавис Орманди, это был вовсе не мусор, а куски данных из оперативной памяти прокси-сервера, содержащие, в том числе, приватные данные. Куки, токены авторизации и прочую весьма ценную информацию. Выданные веб-страницы в итоге индексировались поисковыми роботами.

Должен сказать, что расследование данной уязвимости прошло практически эталонным образом. Уязвимость была закрыта путем отключения некритичных сервисов на стороне Cloudflare в течение 24 часов. Одновременно прошла серьезная работа с поисковыми системами (в первую очередь в Google, но не только) по удалению проиндексированной приватной информации. Отчеты о характере проблемы — подробнейшие, с примерами кода. Больше информации — в блогпосте ^[4] Cloudflare и в багрепорте ^[5] Тависа.

Сложнее ответить на вопрос: Кто пострадал и что теперь с этим делать? Постараюсь, в силу своих возможностей, осветить и эту тему, но сначала расскажу про умных, но уязвимых плюшевых мишек.

Мишек, Карл!

Зафиксирована утечка более двух миллионов голосовых сообщений умным детским игрушкам
Новость ^[6]. Блогпост исследователя ^[7] Троя Ханта.

Есть такая компания Cloudpets ^[8]. Производит детские игрушки с расширенной функциональностью. С помощью беспроводного сетевого соединения в мишку (или зайку, whatever) можно удаленно доставлять голосовые сообщения. Пользователь мишки (ой всё) видит получение нового сообщения в виде мигающего сердечка, и может проиграть его, произведя с устройством сеанс обнимашек (аааааа!).

ААААААААААААА!
Нет, а что. Дивный новый мир. Все бы ничего, но база данных пользователей, включая личные данные и записанные голосовые сообщения, была размещена на из рук вон плохо защищенном сервере. Для хранения данных использовалась СУБД MongoDB, из-за кривых настроек доступная из интернета без авторизации. Незащищенные СУБД все чаще становятся жертвой взломщиков и вымогателей — я об этом писал ^[9] в начале года.

В процессе раскрытия информации об уязвимости вендору все пошло не так. Проблема была обнаружена сразу двумя исследователями независимо друг от друга. Их сообщения производителю были проигнорированы. Как-то заставить вендора прореагировать смог только исследователь Трой Хант, когда сообщил ^[7] о проблеме в своем блоге. В ответ компания Cloudpets сообщила, что (а) данные действительно были доступны, но получить информацию можно только зная пароль конкретного пользователя и (б) хранение и управление базой данных осуществляла сторонняя организация, ответственность за действия которой вендор нести не может.

Серьезно, так и сказали. Объяснили и отсутствие ответа на первоначальные сообщения: «Мы не можем принимать такую серьезную информацию, когда ее присылает непонятно кто».

Да ладно! Про пароли: понятно, что требования к ним у такого сервиса самые минимальные, и подобрать многие из них довольно легко (всего пострадали более 800 тысяч пользователей, если считать по учетным записям). Проблема даже не в утечке персональных данных (БД была открыта в течение долгого времени и скачать ее мог кто угодно), проблема была в не самой адекватной реакции вендора. Ну и заметка на будущее: даже если в утечке виноват подрядчик, ущерб все равно будет у заказчика. Увы.

Что делать?

Так вот, про оценку рисков. В случае с плюшевыми мишками пострадали только конечные пользователи, большинство из них, к сожалению, даже не узнают о проблеме. Потенциальные жертвы Cloudflare — средние и крупные компании. Так получается, что бизнесу приходится тратить значительные средства на развитие собственной экспертизы, в том числе и для того, чтобы правильно оценить риски очередной угрозы.

Если где-то в интернете что-то произошло, нужно понять, как это влияет на риски твоего бизнеса. На примере Cloudflare понятно, что полярные варианты: «нас это не касается» и «ааа, все пропало, мы все умрем» одинаково плохи. Такие оценки с плеча — скорее удел СМИ и еженедельных дайджестов. Единственный адекватный анализ проблемы с этой точки зрения опубликован здесь ^[13], и то, на мой взгляд, он слишком алармистский. Учитывая то, что сервис Cloudflare приводил к рандомной утечке каких-угодно данных, находящихся в момент срабатывания бага в памяти сервера, можно утверждать, что все клиенты этой компании находятся в зоне риска. Кто именно — узнать невозможно, информация у поисковиков потерта. Никто при этом не исключает наличие утечек на стороне неофициальных роботов-сборщиков, которые не работают не на поиск, а вообще с не очень понятными целями. Шансы на то, что у плохих парней данные есть — имеются, но проверить это невозможно.

И что теперь? Сбрасывать всем пользователям пароли? Отзывать токены авторизации? Общий вывод, наверное, такой: не надо делать резких движений, но надо исходить из того, что вероятность утечки отлична от нуля, знать возможные параметры этой утечки и быть готовым к тому, что данные могут быть использованы для атаки. История Cloudflare — она не про реальную беду, она скорее про то, как информационная безопасность больше не ограничивается судорожным латанием свежих дыр. Это тактика, а нужна еще стратегия. Требуется выстраивать защиту исходя из того, что твои данные свалены где-то в куче на каком-то заднем дворе.

С мишками проще. Покупая такую игрушку ребенку нужно понимать, что ваши сообщения уже сейчас слышит кто-то другой. Это не паранойя, это реальность. Недостаточно сделать красивую и умную игрушку, требуется предоставить хоть какие-то доказательства, что вы, как вендор, подумали и о безопасности чужих данных.

Слегка офигевая от происходящего, редакция еженедельного дайджеста отправляется в небольшой отпуск. Не переключайтесь, мы вернемся.

Древности

«Socha-753»

Резидентный очень опасный вирус, стандартно поражает .COM-файлы при их открытии. При запуске файлов (кроме ME$.OVL и NCMAIN.EXE) к файлу C:M_EDITME$.OVL дописывается командная строка. Размножается, если системный таймер указывает 1981 г. Перехватывает int 21h, содержит строки: «Socha», «C:m_editme$.ovl», «comCOM».

Цитата по книге «Компьютерные вирусы в MS-DOS» Евгения Касперского. 1992 год. Страницa 83.

Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.

Автор: «Лаборатория Касперского»

Источник ^[14]