- PVSM.RU - https://www.pvsm.ru -

Security Week 05: принтеры, камеры, 7zip и вопросы этики

Security Week 05: принтеры, камеры, 7zip и вопросы этики - 1В конце ноября 2018 года офисные и домашние принтеры по всему миру распечатали [1] сообщение, призывающее подписываться на ютубера PewDiePie. Произошло, это, естественно, без ведома владельцев принтеров, и скорее всего сам PewDiePie тут ни при чем. Взломщик, называющий себя TheHackerGiraffe, атаковал более 50 тысяч принтеров, настроенных так, что их службы печати (Internet Printing Protocol и Line Printer Daemon) были доступны из Интернета. Список уязвимых принтеров был собран с помощью специализированного поисковика Shodan.io, остальное было делом техники.

Атакой на принтеры история не закончилась: позднее были взломаны смарт-телевизоры, а недавно — веб-камеры Nest, с похожими ссылками на PewDiePie. Эта в целом бессмысленная затея привела к появлению уже чисто криминального сервиса [2] по «принтерному партизанскому маркетингу». Поговорим об этих инцидентах подробнее, а заодно обсудим различия между нормальными исследователями по безопасности и такими вот IoT-вандалами.

Сообщение, распечатанное на десятках тысяч принтеров по всему миру, выглядело примерно так:

Ответственный за взлом «хакер Жираф» в своем твиттере охотно делился деталями атаки (позже все сообщения были удалены). Список IP уязвимых принтеров он загрузил с Shodan в пятидолларовый облачный сервер, где использовал комбинацию опенсорсного ПО для отправки на печать PDF и вывода сообщения о взломе на экран принтера. Буквально через неделю после данного перфоманса исследователи из компании GreyNoise перехватили еще один документ, запрос на печать которого массового рассылался с единственного IP, вот такой:

В документе предлагались услуги «партизанского маркетинга» — аналог объявлений на асфальте, только, так сказать, в цифровом пространстве. Подобные события на самом деле происходят нечасто. Можно сравнить принтерный инцидент с безопасностью роутеров [8] — в их случае взлом устройства обычно не афишируется, просто по-тихому извлекается прибыль. Интересно, что тот самый «Жираф» объяснялся с публикой терминами честных исследователей по безопасности — типа он так «информирует общественность» о рисках неправильно настроенных устройств. Общественность, конечно, была проинформирована, но в идеальном мире путь к улучшению безопасности лежит через работу с производителями принтеров и их установщиками — как минимум стоит разобраться, почему выходит так, что локальный сервис печати смотрит в Сеть.

Инциденты с упоминанием одиозного видеоблогера PewDiePie продолжились и в этом году. В середине января с похожими сообщениями, призывающими подписываться на ютубера, была атакована [9] многопользовательская игра Atlas. А на прошлой неделе издание Motherboard опубликовало [10] видео взлома сетевых видеокамер Nest. Уязвимости в инфраструктуре Nest не использовались. Вместо этого был применен метод credential stuffing — попытка подбора пароля к личному кабинету на основе утекших баз данных. Если вам интересно, как именно будут использовать ваш пароль из очередной утечки [11], — то, например, вот так. Это не масштабная атака, но хакеру удалось взломать около 300 учетных записей. Доступ в личный кабинет Nest дает возможность контролировать домашние IoT-устройства, причем можно не только перехватывать видеопоток с камер, но и общаться через них с владельцами. Звуковые сообщения призывали подписываться на… Ну, вы поняли.

Наконец, сразу после Нового года тот же «Жираф-хакер» сканировал сеть с целью поиска незащищенных устройств, поддерживающих протокол Chromecast, приставок к телевизору или самих умных ТВ. Всего было найдено несколько десятков тысяч устройств, на которые передавалась команда на воспроизведение видеоролика, призывающего все к тому же. Выводов из этих историй есть два. Во-первых, желательно не пускать IoT за пределы локальной сети. Это так себе совет, так как решение о подключении к внешним серверам за вас обычно принимает производитель умного устройства. Во-вторых, подобный хакерский акционизм может использоваться для уничтожения репутации людей или компаний. У PewDiePie репутация и так сомнительная, но дело не в этом: после бессмысленных акций ради пиара вновь открытые методы берет на вооружение криминал. Особенно такие простые.

Наконец, вот вам еще один тред из Твитера. Исследователь решил посмотреть код опенсорсного архиватора 7-zip, отвечающий за создание защищенных архивов. Такие архивы можно открыть только с помощью паролей, а содержимое шифруется с использованием алгоритма AES. В крайне эмоциональных выражениях исследователь сообщает следующее: реализация алгоритма шифрования далека от идеальной, используется ненадежный генератор случайных чисел. Кроме того, ставится под сомнение надежность открытого ПО в целом — ведь некорректный алгоритм был у всех на виду. Обсуждаются качества разработчиков, которые говорят о параноидальных «бэкдорах» в системе шифрования, вместо того чтобы допиливать собственный код до минимальных стандартов.

Но, в отличие от всех предыдущих историй, эта, кажется, закончится хорошо: тот же исследователь сообщил [16] о баге разработчикам и помогает им исправить ситуацию (которая на самом деле не такая уж и плохая). Говоря об этике в сфере инфобезопасности, нужно не забывать, что люди бывают разные, и реагируют на те или иные проблемы в защите софта и устройств они по-разному, в том числе и вот так — слегка несдержанно. Этический хакинг — это прежде всего желание помочь исправить баг или уязвимость. А вот использование уязвимостей для организации клоунады за счет ничего не подозревающих жертв — это не ок.

Disclaimer: Мнения, изложенные в этом дайджесте, могут не всегда совпадать с официальной позицией «Лаборатории Касперского». Дорогая редакция вообще рекомендует относиться к любым мнениям со здоровым скептицизмом.

Автор: Kaspersky_Lab

Источник [17]


Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/informatsionnaya-bezopasnost/306823

Ссылки в тексте:

[1] распечатали: https://www.theregister.co.uk/2018/12/01/pewdiepie_public_hack/

[2] сервиса: https://threatpost.ru/printer-spam-as-a-service-is-here/29558/

[3] pic.twitter.com/fAnNTIp6ds: https://t.co/fAnNTIp6ds

[4] November 29, 2018: https://twitter.com/maddyuhhh/status/1068017390246600704?ref_src=twsrc%5Etfw

[5] @GreyNoiseIO: https://twitter.com/GreyNoiseIO?ref_src=twsrc%5Etfw

[6] pic.twitter.com/Ge0kebMzI7: https://t.co/Ge0kebMzI7

[7] December 2, 2018: https://twitter.com/Andrew___Morris/status/1069349287090364416?ref_src=twsrc%5Etfw

[8] безопасностью роутеров: https://habr.com/ru/company/kaspersky/blog/425701/

[9] атакована: https://threatpost.ru/trolls-hacked-atlas-mmo/30672/

[10] опубликовало: https://motherboard.vice.com/en_us/article/xwb8j7/watch-a-hacker-access-nest-cameras-and-demand-people-subscribe-to-pewdiepie

[11] очередной утечки: https://habr.com/ru/company/kaspersky/blog/436982/

[12] https://t.co/Rf0QMmnMTO: https://t.co/Rf0QMmnMTO

[13] pic.twitter.com/1XaFrvzmft: https://t.co/1XaFrvzmft

[14] January 2, 2019: https://twitter.com/GossiTheDog/status/1080475266303041537?ref_src=twsrc%5Etfw

[15] January 22, 2019: https://twitter.com/3lbios/status/1087848040583626753?ref_src=twsrc%5Etfw

[16] сообщил: https://sourceforge.net/p/sevenzip/bugs/2176/

[17] Источник: https://habr.com/ru/post/437868/?utm_campaign=437868