Security Week 48: туга за сертифікатами у Dell, бекдор в модемах, Truecrypt повертається

Кожен раз, коли в сфері безпеки відбувається черговий провал, з повітря матеріалізуються два одвічних питання: що робити і хто винен. Причому перший важливіше: все частіше ми маємо справу з інцидентами, що ось так просто, патчем або чимось подібним, вирішити неможливо. На жаль, це відноситься не тільки до суперсложным атак. На щастя, мова звичайно йде про теоретичні загрози. Подивимося на головні новини тижня:

— В ноутбуках Dell виявили самоподписанные кореневі сертифікати;
— В 600 тисячах модемів американської компанії Arris виявили бекдор;
— За аудит TrueCrypt взялося німецьке держагентство, нічого не знайшла, але покинутій розробниками утиліті для шифрування все одно ніхто більше не довіряє.

Нічого нового. Перші дві історії — взагалі з улюбленої мною рубрики «ніколи такого не було, і ось знову». Десятки виробників софту і заліза наступають на спеціальні IT Security граблі, і здається, що ніколи не буде цьому ні кінця, ні краю. Але рішення є, і в сьогоднішньому дайджесті я спробую в загальних рисах пояснити, яке. Всі епізоди серіалу — тут.

В ноутбуках Dell виявили self-signed кореневий сертифікат і приватний ключ. А потім знайшли ще два.
Новина. Ще одна новость. 2000+ коментарів на Reddit.

У лютому цього року в ноутбуках Lenovo виявили встановлену програму Superfish, яка показувала користувачам якусь дуже таргетовану рекламу. Неприємно, не дивно, але був один нюанс: щоб ще більш ефективно показувати таргетовану рекламу навіть на сайтах з захищеним з'єднанням, програма «вдиралися» HTTPS трафік за допомогою власного кореневого сертифіката. У Lenovo спочатку проблему не визнали («це не проблема»), потім визнали, вибачилися і програму видалили.

Все добре? Немає. Через два місяці у продажу з'являються ноутбуки Dell, в яких новий виробник наступає на ті ж граблі: кореневий сертифікат eDellRoot, вже не від сторонньої софтина, а від самого виробника, потенційно дозволяє проводити MiTM-атаки, стежити за користувачем, красти паролі тощо. Як виявили? Користувач, який вирішив навіщо-то подивитися список встановлених кореневих сертифікатів (погодьтеся, досить нетипове заняття) знайшов eDellRoot і написав про це на Reddit.


Настав час прохолодних билин.

Як відреагували? А точно так само, як і Lenovo в лютому. Перший коментар від Dell полягав у тому, що проблеми немає, ця штука встановлюється для більш ефективної» роботи техпідтримки у разі звернення клієнта, і взагалі все чудненько. Але щось пішло не так, «прибити» сертифікат з допомогою Windows Defender вирішила компанія Microsoft, Dell приніс вибачення і має намір видалити сертифікат з існуючих ноутбуків з допомогою апдейта, а на нові — більше не ставити.



Потенційних проблем з eDellRoot було б менше, якби на постраждалих машинах не перебував би ще й приватний ключ. Як з'ясувалося пізніше, в деяких моделях Dell можна відшукати ще два таких же пари, хоча вони трапляються рідше, а термін дії одного з нововиявлених сертифікатів вже минув. Тобто виходить, що така вкрай небезпечна практика — загальноприйнята, поширена і (до цього моменту) не кваліфікувалася вендорами, як щось погане.

Нагадаю ще одну історію по темі, яку на початку минулого року розкопали наші експерти. ЗА Absolute Computrace мало того, що мало функцію «відновлення» після повної переустановки системи, так ще використовувало вкрай небезпечні методи взаємодії з серверної інфраструктурою, і можливо було активовано у тих власників ноутбуків, які ніколи не просили розробника системи «антивикрадення» це робити. Так от, це показовий приклад того, як складно досліджувати такі потенційні загрози безпеки. Ось в 2009 році деякі аспекти роботи Computrace досліджує одна компанія. От експерти «Лабораторії» вирішують розвинути тему і знаходять ще більше проблем. Для цього треба: (1) проаналізувати взаємодію BIOS і встановлюється ЗА (2) проаналізувати код програми і взаємодія з сервером (3) підібрати кілька різнопланових ноутбуків, порівняти версії ПЗ і модулів, оцінити конфігурацію на кожному. Бажано, щоб ноутбуки були нові — потрібно було зрозуміти, активується модуль за замовчуванням. (4) Приготувати proof of concept, що показує як можна отримати контроль над ноутбуком віддалено.

Висновок зрозумілий: це все займає кілька місяців, якщо не роки. Реакція розробника? «У нас все гаразд, проблем немає» і так далі. Приклади Dell і Lenovo показують, що перша реакція — вона завжди така.

Головна помилка, яку можна зробити на тлі таких подій — це почати ділити компанії-виробники софта і заліза на «хороші» (з точки зору безпеки) і «погані». Це відмінний спосіб замістити розмова про технології політикою, і в результаті нічого не вирішити. А треба взагалі-то змінити ситуацію у сфері безпеки на краще, для всіх даром, і нехай ніхто не піде скривдженим. Питання — як? Приклади з Lenovo і Dell говорять про те, що змінити ситуацію на краще допомагає робота незалежних дослідників. Приклад з Computrace, а також чималі терміни між появою ноутбучних «дір» та їх виведенням на чисту воду, явно натякають на брак цих самих дослідників.

Серйозно, проблем кібербезпеки настільки багато, що security-індустрія в її нинішньому вигляді просто не в змозі виявити і допомогти вирішити їх усі. Рано чи пізно відповідальне ставлення до безпеки стане для вендорів таким же конкурентною перевагою, як зараз — турбота про екологію або благодійність. Ось таке ось світле майбутнє, до якого ми всі, мабуть, колись прийдемо. А коли прийдемо — 2015 рік, напевно, буде здаватися нам темним середньовіччям, а 2001 — так і взагалі палеолітом.

Поживемо — побачимо.

В американських модемах Arris виявили бекдор всередині бекдор
Новина. Блог-пост дослідника.

«В модемах знову щось сталося». Згадане вище обмеження ресурсів security-індустрії робить роботу дослідників схожою на військово-польовий госпіталь: і там, і там треба працювати швидко, багато і, головне, розставляти пріоритети. І поки всі зайняті стримуванням орд кіберзлочинців, атакуючих, як правило, очевидні, масові і самі прості в експлуатації діри, сил на «захист тилів» залишається мало. А даремно. Дослідник Бернардо Родрігес виявив хитру уразливість в кабельних модемах Arris — це такі штатні залозки, які десятками тисяч встановлюються інтернет-провайдерами при підключенні послуг. Крім стандартних вразливостей типу XSS і CRSF, він знайшов недокументовану бібліотеку, яка дозволяє отримати віддалений доступ за допомогою telnet або SSH. А далі потенційного зломщикові надається ціла пачка дефолтних паролів, з неминучим повноцінним доступом до налаштувань.


Картинка з твіту Родрігеса.

У пості дослідника згадується традиційне для виробників модемів небажання взаємодіяти з експертами, і надмірно довгі строки підготовки патча. На даний момент заплатки немає, але хоча б робота йде. До речі, якщо намальоване мною вище світле майбутнє таки станеться, роль таких непідготовлених до швидкого закриття вразливостей компаній багатьом доведеться приміряти на себе.



В Німеччині ще раз досліджували TrueCrypt і серйозних прогалин не знайшли
Новина. Звіт про дослідження BSI.

Німецьке Федеральне Управління з Інформаційної Безпеки (Bundesamt für Sicherheit in der Informationstechnik або просто BSI) замовило інституту Фраунгофера аудит утиліти TrueCrypt для повного або часткового шифрування інформації. Відразу виникає питання, навіщо це потрібно BSI, якщо TrueCrypt більше не розробляється, і взагалі був брошен розробниками при дуже дивних і підозрілих обставин. Невже в Німеччині держструктури використовують для шифрування програму, розроблену незрозуміло ким і незрозуміло як? Справа в тому, що якісь «елементи» TrueCrypt використані Trusted Disk компанії Sirrix AG, а це вже офіційно схвалений інструмент для шифрування важливих даних.

Загалом, є привід подивитися. З TrueCrypt взагалі дивна історія. Несподіваний демарш і до цього зберігали анонімність розробників викликала обґрунтовані підозри, що де-то в системі шифрування може бути закладка. Перевірки проводилися неодноразово, у квітні група товаришів OpenCryptoAudit закінчила свою роботу, і, якщо коротко, нічого не знайшла. Нещодавно в коді TrueCrypt знайшли дві небезпечні уразливості, але вони також не впливають на сам процес шифрування. Тепер Фраунгоферовский інститут на прохання BSI провів ще одне дослідження і теж нічого, загалом-то, не виявив.


tl;dr звіту Фраунгофера і BSI

Якщо точніше, у звіті йдеться, що при відкритому доступ до зашифрованих даних (наприклад, системний диск розшифровується і далі з нього завантажується і працює ОС) ці самі дані піддаються звичайним загрозам — кейлоггерам, троянам і так далі. Загалом-то, це така капітанська ремарка, але «відключений» зашифрований тому цілком безпечний. Цікаво, що у нас є вже три досить авторитетних аудиту TrueCrypt. Безпосередні дослідження від колективу OpenCrypto і від BSI підтверджують відсутність закладок і дірок в алгоритмі шифрування. Знайшов ті самі «незв'язані» уразливості Google Project Zero дає третє, хоча і непряме підтвердження: я от чомусь впевнений, що вони шукали не ці уразливості. А довіри до TrueCrypt як не було, так і немає: після подій травня минулого року навряд чи щось зможе його відновити.

Що ще сталося:
Новітня, четверта версія шифровальщика Cryptowall тепер распространяется з допомогою експлойт-пака Nuclear. Це та сама версія, яка шифрує імена файлів теж, я про неї писав раніше.

Виявили черговий шкідник для POS-терміналів. Він складніше і потенційно небезпечніше попередників. Важливіше, мабуть, те, що атакувати платіжні термінали почали помітно частіше.

Давнину:
«Plastique-3004,-3012»

Перуть вміст дисків при запуску ACAD.EXE. Програють мелодії. Уповільнюють роботу комп'ютера (холостий цикл на int 8). При кожному 4000-м натисканні на клавішу перуть на диску 1 сектор з випадковим номером. Містять зашифровані тексти: «ACAD.EXECOMMAND.COM.COM.EXE», «Program: Plastique 4.51 (plastic bomb), Copyright 1988, 1989 by ABT Group. Thanks to Mr. Lin (IECS 762??), Mr. Cheng (FCU Int-Center)». Перехоплюють int 8, 9, 13h, 21h.

Цитата по книзі «Комп'ютерні віруси в MS-DOS» Євгена Касперського. 1992 рік. Сторінка 35.

Disclaimer: Дана колонка відображає лише приватна думка її автора. Воно може збігатися з позицією компанії «Лабораторія Касперського», а може і не збігатися. Тут уже як пощастить.

Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.