Security Week 42: колізії у SHA-1, практичний злом роутерів, Android/Безпека/Смуток

Коли ви перебуваєте в епіцентрі подій, іноді складно зрозуміти, що насправді сталося. Перебуваючи в пробці, ви не дізнаєтеся, що вона сталася через ДТП, поки не доберетеся до двох підбитих льотчиків, які посіли три смуги. До цього моменту у вас просто недостатньо інформації, щоб зробити висновки. В індустрії ІБ так часто відбувається: тема складна, нюансів багато, а результат деяких досліджень можна реально оцінити тільки через кілька років.

На цьому тижні три найцікавіші новини про безпеку не мають між собою нічого спільного, крім товстого шару підтекстів. Якщо не займатися темою постійно, важливість деяких подій можна оцінити неправильно, або не побачити якісь важливі деталі. Спробую, по мірі сил, пояснити на прикладах, хоча підтексти — штука така — кожному бачиться щось своє. Ласкаво просимо в 11 епізод серіалу Security Week їм. Зрив Покривів. Традиційні правила: щотижня редакція новинного сайту Threatpost вибирає три найбільш значущих новини, до яких я додаю розширений і нещадний коментар. Всі епізоди серіалу можна знайти тут.

Пошук колізій для алгоритму SHA-1 серйозно подешевшав
Новина. Передбачення Брюса Шнайера трирічної давності. Нове дослідження, змінило уявлення про безпеку алгоритму.

Ті, хто, як я, просунулися в освоєнні Linux трохи далі автоматичної установки Ubuntu, знають, що ця система мотивує читати інструкції. У сенсі, спочатку я звичайно пробую нагуглити доку, де просто вказана послідовність команд, але в деяких випадках у мене спочатку нічого не заробить, а потім все зламається. Ця новина з тієї ж серії: без хоча б мінімального занурення в матчастину в ній складно розібратися. Незважаючи на те, що це, мабуть, найскладніша тема за весь час існування серіалу, я спробую розповісти, в чому суть, простими словами.


Ну, якось так спробую.

SHA-1 — алгоритм криптографічного хешування. Таким алгоритмом можна дати на вході послідовність даних майже необмеженої довжини, а на виході отримати 160 біт інформації, які дозволяють ідентифікувати вихідний масив даних. Якщо, звичайно, він у вас є: відновити інформацію з хеша не вийде, фарш неможливо провернути назад.

Точніше, не повинно виходити, навіть якщо на вході, наприклад, є пароль невдалого користувача типу 123456. До будь-якого подібного алгоритму є дві вимоги: неможливість отримати вихідні дані, маючи на руках тільки хеш і неможливість підібрати таку пару наборів даних, щоб їх хеш співпадав. Якщо ще точніше, то можливість зробити і те, і інше, майже завжди є. Просто це має бути пов'язано з настільки великим обсягом обчислень, що годі навіть намагатися. Ну, тобто, ви купуєте найпотужніший суперкомп'ютер, даєте йому завдання зламати шифр. Через 240 років він каже, що відповідь — 42, але вас до того часу це вже ніяк не хвилює.

Але є нюанс. По-перше, продуктивність комп'ютерів постійно росте. По-друге, дослідники шукають обхідні шляхи, що дозволяють зламати криптографічні системи. Для алгоритму хешування знайти колізію набагато простіше, ніж розшифрувати вихідні дані. Між тим, той же SHA-1 використовується в різних системах шифрування і аутентифікації, де його головне завдання — переконатися, що дані у двох різних абонентів збігаються. Якщо можна знайти два або більше масивів даних, у яких хеш буде однаковий, причому зробити це дешево і швидко — значить алгоритм більше не надійний.

Мабуть, на цьому зупинюся, бо далі починається зовсім вже суворий матан, який суті справи не змінює. Робота дослідників виглядає приблизно так: придумуємо алгоритм пошуку колізії, який дозволяє знайти таку за трохи меншу кількість операцій, ніж простий перебір. Точніше, тут має сенс говорити про атаку "Днів народження". Днів народження, Карл!

Якісь неправильні у мене прості слова.

Потім дослідники покращують цей алгоритм, ще більше зменшуючи кількість операцій. В результаті ту саму атаку, вимагала 240 років, стає можливо виконати за 120 років. Або за 12. Або за 2. Ось коли замість двох з половиною століть потрібно всього два місяці, можна починати хвилюватися. Так ось, три роки тому фахівець з криптографії Джессі Уокер з Intel припустив, що до 2015 року для знаходження колізій алгоритму SHA-1 потрібно два в одинадцятій ступеня серверо-років (ну, якщо взяти за основу такий сферичний типовий сервер у вакуумі). На щастя, завдяки хмарним сервісам, а конкретно Amazon EC2, можна обчислити більш конкретний грошовий еквівалент: близько 700 тисяч доларів і ви отримаєте теоретичний спосіб, наприклад, підробити цифровий підпис за порівняно короткий час.

Але це була оцінка 2012 року. Виходило, що вже тоді алгоритм SHA-1 був не настільки надійним, як хотілося б, тільки експлуатувати цю ненадійність могли дуже заможні організації, наприклад розвідка який-небудь небідній країни. Природно, такі контори не квапляться випускати прес-релізи про свої успіхи на ниві боротьби з криптографією. Так що важливіше зрозуміти, коли доступ до такого «інструменту» отримають, нехай і заможні, але кіберзлочинці.



Нещодавно команда дослідників з університетів Голландії, Сінгапуру та Франції опублікувала доповідь, в якій поділилася новими ідеями оптимізації алгоритму пошуку колізій. Завдяки їм, якщо коротко, реальна атака може коштувати «в цінах Amazon» всього 75 тисяч доларів і займе приблизно 49 днів. Ну або дорожче і швидше, кому як зручно. Відомий експерт в області криптографії Брюс Шнайер прокоментував це таким чином: оцінка 2012 року враховувала закон Мура, але не брала до уваги удосконалення алгоритму атаки і методи проведення атаки (наприклад, використання графічних процесорів для обчислень, які виконують завдання швидше і дешевше). Надійно передбачити ефект такої оптимізації дійсно неможливо.

А далі задаємо традиційне запитання: на практиці це нове дослідження і нова оцінка комусь загрожує? Не так, щоб дуже. А як взагалі такі «вразливості» можуть експлуатуватися? пример значно менш стійкого алгоритму MD5: беремо два різних файли (в даному випадку використовувалися фотографії рок-зірок) і, послідовно модифікуючи дані в одному з них, отримуємо в підсумку однаковий хеш для двох абсолютно різних зображень.

А якщо конкретніше? Кибершпионская кампанія Flame використала цей прийом для підпису шкідливого файлу валідним (на той момент) сертифікатом Microsoft. Точніше, підпис було підроблено, але хеші у підробленої підпису та реальної збігалися. незалежною оцінкою, такий трюк, навіть з більш слабким алгоритмом, міг обійтися в суму від 200 тисяч до 2 мільйонів доларів. Дорогувато!

А що з SHA-1? Алгоритм застосовується з 1995 року, і, загалом-то, вже в 2005-му, 10 років тому, було зрозуміло, що це не найнадійніша в світі технологія. Але навіть з новими вступними даними до практичної експлуатації ще далеко, у той час як SHA-1 поступово виводиться з використання і замінюється більш надійними алгоритмів хешування. До 2017 року розробники основних браузерів планують відмовитися від використання SHA-1. Мабуть варто поквапитися, адже якщо за три роки ймовірна ціна атаки впала з 2,77 мільйона доларів до 100 тисяч, то що може статися ще через рік? З іншого боку, всі дослідження вразливості SHA-1 поки що мають суто наукову цінність. Намагатися зрозуміти на практиці, чим це загрожує — це все одно що з повідомлення «12 квітня над Казахстаном згоріло 250 тонн ракетного палива» зробити висновок, що людина вперше полетіла у космос, не знаючи про це заздалегідь. Поживемо — побачимо.

Fun fact: хеш взагалі-то правильно називати digest або message digest. Виходить, ви щойно прослухали дайджест про дайджест. Рекурсія, уииии!

Уразливість в роутерах Netgear експлуатується на практиці
Новина. Опис уразливості.

В маршрутизаторах Netgear N300 виявили вразливість. Ну так, ще одна дірка в роутерах, і як-то виходить, що вони всі різні, але при цьому на одну особу. В одному з минулих серій вже обговорювали пачку дірок в пристроях Belkin. У Netgear причому все якось зовсім прикро. Відкриваємо веб-інтерфейс роутера. Вводимо пароль, неправильний, так як роутер чужий і пароль ми не знаємо. Нас відправляють на сторінку, де пишуть Access Denied. Але якщо спробувати відкрити сторінку з ім'ям BRS_netgear_success.html, то… нас теж нікуди не пустять. А от якщо спробувати зробити це кілька разів підряд, то пустять.



Природно, при цьому бажано бути вже усередині локальної мережі, що дещо ускладнює завдання. Хоча якщо роутер, наприклад, роздає WiFi в кафе, то потрапити всередину — не проблема. А якщо власник навіщо-то включив доступ до веб-інтерфейсу з інтернету, то взагалі все просто. До речі, хто-небудь може сказати, навіщо, в принципі потрібен доступ до веб-інтерфейсу зовні? Саме до веб-інтерфейсу роутера, а не до яких-небудь штукам в локальній мережі. Мені здається причин так робити взагалі немає, а приводів НЕ робити, як бачите, предостатньо.

Загалом-то тут все йшло досить добре: вендора повідомили, що через два місяці він зробив бета-версію прошивки. Ще б трохи і обійшлося, але ні, виявилося, що експлуатують уразливість, що називається, «в полях». Швейцарська компанія Compass Security виявила такий роутер з зміненими настройками: як DNS-сервера був прописаний не адресу провайдера, як це зазвичай буває, а не зрозумій що. Відповідно, через це непоймичто проходили всі DNS-запити. Дослідження сервера атакуючих показало, що він «обслуговує» більше 10 тисяч зламаних роутерів.

Fun fact: компанія Compass Security досить довго не могла добитися жодної відповіді від NetGear. Потім діалог таки трапився, і їм навіть прислали бета-версію прошивки на перевірку. Але тут (звідки не візьмись з'явилася компанія Shellshock Labs і опублікувала своє дослідження тієї ж уразливості взагалі ні з ким не домовляючись (що як би не дуже добре). Звичайно, назвати компанію на честь бага в bash — це круто, але принцип «не нашкодь» ніхто не відміняв. Зате з дослідження «потрясателей шелла» стає зрозуміло, звідки взялася уразливість в веб-інтерфейсі. У коді прошивки передбачена можливість увійти в веб-інтерфейс без пароля один раз, при першому запуску. Щоб далі це не працювало, був передбачений прапорець, про який просто забули. Так, прошивку в підсумку все ж обновили.

85% Android-пристроїв небезпечні
Новость. Сайт дослідників, з рейтингом безпеки за вендорам.



Та ви що! Ніколи такого не було, і ось знову! Між тим, мова йде про ще одному науковому дослідженні, хоча звичайно не такому забористом як в історії про SHA-1. Дослідники з Кембріджського університету провели цікаву штуку. Зібрали дані про 32 серйозних уразливість в Android, тому вибрали з них 13 найбільш серйозних, і перевірили відразу багато телефонів різних виробників на наявність цієї уразливості. Перевіряли так: зробили додаток Device Analyzer, через яке відкрито збирали різну анонімну телеметрію в учасників експерименту, включаючи такі параметри як версія ОС і номер білду. Всього вдалося зібрати інформацію з більш ніж 20 тисяч смартфонів.

Далі, зіставивши номер версії Android з інформацією про уразливості, змогли приблизно оцінити масштаб лиха. В результаті вийшла ось така картинка:



Усереднення показників за весь час дослідження і дало ту саму цифру 85% — в середньому в будь-який момент часу саме така частка пристроїв на Android схильна до однієї з відомих і потенційно небезпечних вразливостей. Чи не однією. Як правило, наголос треба робити на «потенційно» — на прикладі Stagefright зрозуміло, що навіть на саму небезпечну уразливість накладаються суворі обмеження по практичній реалізації.

Але на цьому дослідники не зупинилися і зробили рейтинг «небезпеки» пристроїв по виробниках, назвавши його FUM Score. У ньому враховується і час реакції вендора на інформацію про нові уразливості — як швидко патч з'являється в пристроях конкретного виробника. Переможцем стала, передбачувано, серія смартфонів Nexus: в ній помилки виправляються максимально швидко. На другому місці LG, на третьому — Motorola. Втім «переможців» тут насправді немає, самі переможені. У розрахунку враховується саме частка оновлених пристроїв, тобто не тільки вендор повинен випустити патч, але і власник — не полінуватися оновити. Чим старше пристрій, тим гірше: в окремому рейтингу за моделями смартфонів у не самих старих пристроїв двох-трирічної давнини зовсім вже сумні показники. Чому? Не оновлюють. Але користуються.

Загалом, в методиці дослідження є чимало вільних припущень, та й вона доводить те, що і так всім відомо. За словами дослідників, однією з цілей їх роботи є додаткова мотивація виробників таки полагодити систему латання дір у своїх пристроях. А ось що насправді важливо: на картинці вище ми бачимо приклад екосистеми, яка в принципі не може бути на сто відсотків безпечною. Хоча Android зі своєю фрагментацією — це найпоказовіший приклад, таких екосистем багато. Можна говорити про те, що iOS безпечніше, але як показує перша історія дайджесту про, ем, дайджест, немає абсолютно надійних систем, є обмеження по бюджету. А це такий дуже важливий момент при виборі стратегії захисту.

Що ще сталося:
Apple видалила з App Store додатки, що встановлювали кореневі сертифікати, що дозволяло їм перехоплювати, відслідковувати або модифікувати дані, що передаються по захищеному з'єднанню. Наприклад, для блокування реклами, або чого гірше. Я так розумію, що і нові додатки з таким функціоналом тепер завантажувати не можна. А чому раніше було можна?

Європейське агентство з авіаційної безпеки розповіло про уразливості в системі ACARS, що використовується для передачі даних між літаком і наземною станцією. Загалом-то, спочатку було ясно, що в системі без будь-яких верифікації пакетів відправити підроблене повідомлення нескладно. Покерувати літаком не вийде, але відправити повідомлення, яке введе в оману пілотів, можна. Про уразливості ACARS дослідники говорили (доками у форматі PDF) ще в 2013 році, але то були ІБ-фахівці, а тут безпосередньо відповідальний за безпеку наглядовий орган. А це хороші новини.

Давнину:
«Indicator-734»

Небезпечний резидентний вірус. Інфікує .COM-файли при їх завантаженні в пам'ять. Старе початок файлу шифрує, причому в якості ключа використовує 10h байт bios'a. Тобто правильно розшифровуватися і нормально виконуватися файли будуть тільки на комп'ютері з тією ж версією BIOS'У, на якому були заражені. Якщо ж розшифрувати старе початок файлу не вдалося, то вірус блокує роботу файлу (виконує int 20h), попередньо запустивши свої лічильники. Залежно від їх стану (приблизно 1 раз у годину) вірус малює на екрані червоний хрест, у центрі якого розташовано напис: «VINDICATOR». Перехоплює int 1Ch, 21h.

Цитата по книзі «Комп'ютерні віруси в MS-DOS» Євгена Касперського. 1992 рік. Сторінка 70.

Disclaimer: Дана колонка відображає лише приватна думка її автора. Воно може збігатися з позицією компанії «Лабораторія Касперського», а може і не збігатися. Тут уже як пощастить.

Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.