Сразу две популярные новости на этой неделе поднимают важную тему оценки серьезности уязвимостей в частности и определения безопасности софта или железа вообще. По порядку: 3 октября основатель сервиса SSLMate Эндрю Айер сообщил об уязвимости в демоне инициализации systemd (новость, оригинальный пост Айера). Уязвимость типа denial of service эксплуатируется только локально. Любой пользователь введя команду NOTIFY_SOCKET=/run/systemd/notify systemd-notify “” может подвесить систему. Баг, вызванный неправильной обработкой сообщения нулевой длины, и уже закрытый, просуществовал в systemd два года, начиная с версии 209.

Имея массу примеров для сравнения (Shellshock, например, или тот же Heartbleed), можно вполне уверенно утверждать, что это далеко не самый ужасный в мире баг. Тем не менее, срач обсуждение проблемы получилось масштабное. Причина в доступном описании бага: «можно подвесить систему сообщением, которое помещается в один твит». И в резкой реакции CTO компании Pantheon, активно поддерживающего systemd. Далее везде, вплоть до нового витка обсуждения личности создателя systemd (не буду его называть, а то и здесь начнется).

В общем, обсуждали все, что угодно, только не сам баг, который, действительно, не так уж ужасен, хотя и серьезен. Это действительно важная тема: по уязвимостям пытаются судить о качестве продукта. Типичный пример такого подхода — рейтинги софта с наибольшим количеством обнаруженных дыр. Попробую предложить свою трактовку: уязвимость — это в большинстве случаев просто уязвимость, и само по себе обнаружение проблемы никак не квалифицирует софт или железку. А чтобы обосновать это утверждение, нам понадобится обсудить роутер D-Link.

Исследователь нашел 20 уязвимостей в роутере D-Link DWR-932B
Новость. Исследование.

Исследователь Пьер Ким провел анализ роутера D-Link DWR-932B с точки зрения безопасности. Данный роутер представляет собой портативное устройство со встроенным 4G-модемом. Результаты исследования показали, что защита устройства, скажем так, далека от идеала. Автор высказывается более прямо и предлагает просто избавляться от таких устройств — дескать, ничего уже не поделаешь. Детали уязвимостей можно посмотреть по ссылкам выше, я просто приведу краткую выжимку:



— Вшитый пароль администратора при доступности подключения по telnet и ssh по умолчанию
— Бэкдор, позволяющий контролировать устройство вообще без пароля
— Зашитый дефолтный PIN для подключения по WPS
— Генерация PIN по предсказуемому алгоритму (на основе текущего времени). Актуально в случае, если владелец все же активирует процедуру генерации в веб-интерфейсе, иначе — см. предыдущий пункт
— Зачем-то в прошивку вшит аккаунт на сервисе No-IP (динамический DNS)
— Много разных уязвимостей в веб-интерфейсе
— Загрузка обновлений по HTTP, при авторизации на сервере с дефолтным вшитым паролем (предусмотрено подключение по HTTPS, но срок действия сертификата истек)
— Небезопасная реализация протокола uPnP

Аргументация Пьера Кима следующая: с роутером можно делать все, что угодно, вплоть до подмены прошивки. Последнее вряд ли понадобится, так как перехватить контроль можно и иными способами. В новости приводится интересная предыстория работ Кима (D-Link стал не первой «жертвой» исследователя) и примеры сложностей, с которыми сталкиваются разработчики роутеров, особенно когда речь идет о моделях, снятых с производства. В данном случае, кстати, в D-Link говорят об этом же, хотя на сайте компании модель обозначена как актуальная.

Возвращаюсь к своему тезису. В большинстве случаев уязвимость — это просто уязвимость, и она никак не характеризует софт или устройство. В современных реалиях инфобезопасности вряд ли получится делать софт, абсолютно лишенный багов. Характеристика вендора, с точки зрения безопасности, складывается из того, как компания реагирует на информацию об уязвимостях, насколько быстро и эффективно закрывает их. В любом случае единых правил оценки софта, сервисов, устройств даже по этим критериям пока нет.

А неплохо было бы.

Обнаружена уязвимость в системе удаленного управления инсулиновыми помпами OneTouch Ping
Новость. Исследование Rapid7.

Закончим более оптимистичным примером взаимодействия исследователя, вендора и даже госрегулятора. Хотя повод, откровенно говоря, удручающий. Компания Rapid7 обнаружила уязвимость в инсулиновых помпах OneTouch Ping, выпускаемых компанией Animas Corp., подразделением Johnson & Johnson. Небезопасный протокол взаимодействия между инъектором и пультом дистанционного управления позволяет изменять параметры работы медицинского устройства.



Пульт и помпа общаются по радиоканалу на частоте 900 Мгц, при соединении обмениваются ключами, но недостаточно защищенный алгоритм позволяет перехватить контроль и, как минимум, расшифровать передаваемую информацию о состоянии устройства. Есть и более простой способ: в Rapid7 выяснили, что устройство никак не защищено от повторного воспроизведения коммуникации между легальным пультом и помпой. То есть возможна атака, когда с настоящего пульта передается команда на увеличение дозы инсулина, а с «поддельного» она воспроизводится повторно, с теоретически возможностью передозировки медикамента.

И исследователи, и вендор утверждают, что вероятность применения атаки на практике небольшая. Для этого нужно находиться в непосредственной близости от владельца устройства (около 3 метров), хотя повторное воспроизведение данных можно успешно провести более мощным передатчиком хоть за километр. Производитель начал рассылать клиентам рекомендации по устранению риска: можно отключить возможность дистанционного управления в принципе. Кроме того, можно запрограммировать предупреждение при выходе дозировки лекарства за безопасные пределы.

Совсем устранить уязвимость сразу не получится, так как помпа не имеет подключения к интернету (и хорошо, пожалуй, что не имеет). Действия компании-исследователя (они раскрыли информацию только сейчас, хотя обнаружили проблемы еще в апреле) и вендора были позитивно оценены регулятором — американским госагентством Food and Drug Administration. Для сравнения можно упомянуть пример неправильного подхода к исследованиям уязвимостей в медицине. Этим летом компания MedSec нашла уязвимость в кардиостимуляторах, но почему-то раскрыла информацию не производителю, а инвестиционной компании, которая и обнародовала данные (теперь там все безнадежно погрязли в судебных тяжбах).

Уж где эталонная безопасность точно нужна, так это в медицинских устройствах.

Что еще произошло:
Yahoo обвиняют в потакании американской разведке (массовая слежка за почтовой перепиской). Самая громкая новость недели, но без реальных фактов и подтверждений с чьей-либо стороны.

Одна из самых мощных DDoS-атак, произошедшая две недели назад, действительно проводилась ботнетом из IoT-устройств (конкретно — веб-камер). А тут еще кто-то выложил исходники кода, использующегося для автоматического поиска и взлома уязвимых устройств.

Древности


«Stone-Sex-a,-b»

Поражают диски при обращении к ним (int 13h, ah = 2, 3). Сохраняют старое содержимое изменяемых секторов (Boot-сектор у флоппи-диска и MBR у винчестера) по адресу 1/0/3 (головка/трек/сектор) для дискет или 0/0/8 (0/0/7 в зависимости от версии вируса) для винчестера. При загрузке с зараженного флоппи-диска с вероятностью 1/3 сообщают:

«Stone-Sex-a» — «EXPORT OF SEX REVOLUTION ver. 1.1»
«Stone-Sex-b» — «EXPORT OF SEX REVOLUTION ver. 2.0»

Цитата по книге «Компьютерные вирусы в MS-DOS» Евгения Касперского. 1992 год. Страницa 98.

Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.
Поделиться с друзьями
-->

Комментарии (4)


  1. jok40
    07.10.2016 09:40

    А тут еще кто-то выложил исходники кода, использующегося для автоматического поиска и взлома уязвимых устройств.

    Перешёл по этому линку — обычная новостная статья. Не вижу никаких исходников кода.



  1. Saffron
    07.10.2016 11:35
    +2

    > В общем, обсуждали все, что угодно, только не сам баг, который, действительно, не так уж ужасен, хотя и серьезен. Это действительно важная тема: по уязвимостям пытаются судить о качестве продукта.

    Так десять раз говорили, не надо в процесс с pid 0 совать столько разных фич. Был бы он с pid > 0 — перезагрузили бы его и дел с концом. А тут баг вылез.

    > Возвращаюсь к своему тезису. В большинстве случаев уязвимость — это просто уязвимость, и она никак не характеризует софт или устройство.

    Одна уязвимость — нет. Но в длинках их находят каждый месяц. Разработчики принципиально оставляют себе бекдор. Пока за это их не будет наказывать жестко регулятор, к лучшему ничего не изменится.


    1. develop7
      07.10.2016 13:35
      +1

      не надо в процесс с pid 0 совать столько разных фич

      во, а уточните, какие именно фичи засунуты, по-вашему, в init? и заодно какие из них лишние и почему.