Сразу две популярные новости на этой неделе поднимают важную тему оценки серьезности уязвимостей в частности и определения безопасности софта или железа вообще. По порядку: 3 октября основатель сервиса SSLMate Эндрю Айер сообщил об уязвимости в демоне инициализации systemd (новость, оригинальный пост Айера). Уязвимость типа denial of service эксплуатируется только локально. Любой пользователь введя команду NOTIFY_SOCKET=/run/systemd/notify systemd-notify “” может подвесить систему. Баг, вызванный неправильной обработкой сообщения нулевой длины, и уже закрытый, просуществовал в systemd два года, начиная с версии 209.
Имея массу примеров для сравнения (Shellshock, например, или тот же Heartbleed), можно вполне уверенно утверждать, что это далеко не самый ужасный в мире баг. Тем не менее, срач обсуждение проблемы получилось масштабное. Причина в доступном описании бага: «можно подвесить систему сообщением, которое помещается в один твит». И в резкой реакции CTO компании Pantheon, активно поддерживающего systemd. Далее везде, вплоть до нового витка обсуждения личности создателя systemd (не буду его называть, а то и здесь начнется).
В общем, обсуждали все, что угодно, только не сам баг, который, действительно, не так уж ужасен, хотя и серьезен. Это действительно важная тема: по уязвимостям пытаются судить о качестве продукта. Типичный пример такого подхода — рейтинги софта с наибольшим количеством обнаруженных дыр. Попробую предложить свою трактовку: уязвимость — это в большинстве случаев просто уязвимость, и само по себе обнаружение проблемы никак не квалифицирует софт или железку. А чтобы обосновать это утверждение, нам понадобится обсудить роутер D-Link.
Исследователь нашел 20 уязвимостей в роутере D-Link DWR-932B
Новость. Исследование.
Исследователь Пьер Ким провел анализ роутера D-Link DWR-932B с точки зрения безопасности. Данный роутер представляет собой портативное устройство со встроенным 4G-модемом. Результаты исследования показали, что защита устройства, скажем так, далека от идеала. Автор высказывается более прямо и предлагает просто избавляться от таких устройств — дескать, ничего уже не поделаешь. Детали уязвимостей можно посмотреть по ссылкам выше, я просто приведу краткую выжимку:
— Вшитый пароль администратора при доступности подключения по telnet и ssh по умолчанию
— Бэкдор, позволяющий контролировать устройство вообще без пароля
— Зашитый дефолтный PIN для подключения по WPS
— Генерация PIN по предсказуемому алгоритму (на основе текущего времени). Актуально в случае, если владелец все же активирует процедуру генерации в веб-интерфейсе, иначе — см. предыдущий пункт
— Зачем-то в прошивку вшит аккаунт на сервисе No-IP (динамический DNS)
— Много разных уязвимостей в веб-интерфейсе
— Загрузка обновлений по HTTP, при авторизации на сервере с дефолтным вшитым паролем (предусмотрено подключение по HTTPS, но срок действия сертификата истек)
— Небезопасная реализация протокола uPnP
Аргументация Пьера Кима следующая: с роутером можно делать все, что угодно, вплоть до подмены прошивки. Последнее вряд ли понадобится, так как перехватить контроль можно и иными способами. В новости приводится интересная предыстория работ Кима (D-Link стал не первой «жертвой» исследователя) и примеры сложностей, с которыми сталкиваются разработчики роутеров, особенно когда речь идет о моделях, снятых с производства. В данном случае, кстати, в D-Link говорят об этом же, хотя на сайте компании модель обозначена как актуальная.
Возвращаюсь к своему тезису. В большинстве случаев уязвимость — это просто уязвимость, и она никак не характеризует софт или устройство. В современных реалиях инфобезопасности вряд ли получится делать софт, абсолютно лишенный багов. Характеристика вендора, с точки зрения безопасности, складывается из того, как компания реагирует на информацию об уязвимостях, насколько быстро и эффективно закрывает их. В любом случае единых правил оценки софта, сервисов, устройств даже по этим критериям пока нет.
А неплохо было бы.
Обнаружена уязвимость в системе удаленного управления инсулиновыми помпами OneTouch Ping
Новость. Исследование Rapid7.
Закончим более оптимистичным примером взаимодействия исследователя, вендора и даже госрегулятора. Хотя повод, откровенно говоря, удручающий. Компания Rapid7 обнаружила уязвимость в инсулиновых помпах OneTouch Ping, выпускаемых компанией Animas Corp., подразделением Johnson & Johnson. Небезопасный протокол взаимодействия между инъектором и пультом дистанционного управления позволяет изменять параметры работы медицинского устройства.
Пульт и помпа общаются по радиоканалу на частоте 900 Мгц, при соединении обмениваются ключами, но недостаточно защищенный алгоритм позволяет перехватить контроль и, как минимум, расшифровать передаваемую информацию о состоянии устройства. Есть и более простой способ: в Rapid7 выяснили, что устройство никак не защищено от повторного воспроизведения коммуникации между легальным пультом и помпой. То есть возможна атака, когда с настоящего пульта передается команда на увеличение дозы инсулина, а с «поддельного» она воспроизводится повторно, с теоретически возможностью передозировки медикамента.
И исследователи, и вендор утверждают, что вероятность применения атаки на практике небольшая. Для этого нужно находиться в непосредственной близости от владельца устройства (около 3 метров), хотя повторное воспроизведение данных можно успешно провести более мощным передатчиком хоть за километр. Производитель начал рассылать клиентам рекомендации по устранению риска: можно отключить возможность дистанционного управления в принципе. Кроме того, можно запрограммировать предупреждение при выходе дозировки лекарства за безопасные пределы.
Совсем устранить уязвимость сразу не получится, так как помпа не имеет подключения к интернету (и хорошо, пожалуй, что не имеет). Действия компании-исследователя (они раскрыли информацию только сейчас, хотя обнаружили проблемы еще в апреле) и вендора были позитивно оценены регулятором — американским госагентством Food and Drug Administration. Для сравнения можно упомянуть пример неправильного подхода к исследованиям уязвимостей в медицине. Этим летом компания MedSec нашла уязвимость в кардиостимуляторах, но почему-то раскрыла информацию не производителю, а инвестиционной компании, которая и обнародовала данные (теперь там все безнадежно погрязли в судебных тяжбах).
Уж где эталонная безопасность точно нужна, так это в медицинских устройствах.
Что еще произошло:
Yahoo обвиняют в потакании американской разведке (массовая слежка за почтовой перепиской). Самая громкая новость недели, но без реальных фактов и подтверждений с чьей-либо стороны.
Одна из самых мощных DDoS-атак, произошедшая две недели назад, действительно проводилась ботнетом из IoT-устройств (конкретно — веб-камер). А тут еще кто-то выложил исходники кода, использующегося для автоматического поиска и взлома уязвимых устройств.
Древности
«Stone-Sex-a,-b»
Поражают диски при обращении к ним (int 13h, ah = 2, 3). Сохраняют старое содержимое изменяемых секторов (Boot-сектор у флоппи-диска и MBR у винчестера) по адресу 1/0/3 (головка/трек/сектор) для дискет или 0/0/8 (0/0/7 в зависимости от версии вируса) для винчестера. При загрузке с зараженного флоппи-диска с вероятностью 1/3 сообщают:
«Stone-Sex-a» — «EXPORT OF SEX REVOLUTION ver. 1.1»
«Stone-Sex-b» — «EXPORT OF SEX REVOLUTION ver. 2.0»
Цитата по книге «Компьютерные вирусы в MS-DOS» Евгения Касперского. 1992 год. Страницa 98.
Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.
Автор: «Лаборатория Касперского»