Security Week 04: діра в WiFi софті Lenovo, конф-колл-бекдор, Amazon роздає HTTPS безкоштовно

Минулий тиждень нічим особливим не відзначилася: новин було багато, але майже всі, крім черговий уразливості в софті Lenovo, запросто можна було визначити категорію «Що сталося». І адже події були важливі: OpenSSL закриті нові уразливості (але не такі жахливі, як Heartbleed); В iOS і Mac OS X закриті критичні дірки; в PayPal через програму bug bounty знайшли і закрили знайдений в минулому році серйозний баг в Apache Commons Collections. Та такий, що теоретично дозволяв обійти захист і отримати прямий доступ до серверів!

Все цікаво, але якось без вогника. Втім, це не перша моя спроба у рамках дайджесту поскиглити про те, що мовляв, ландшафт загроз вже не той. Адже за останні півроку, за рідкісними винятками, щотижня відбувалися зломи, виявлялися уразливості дуже і дуже серйозні. Але взагалі-то дайджест новин в досить вузькій сфері інфобезпеки і повинен бути схожий на нудну виробничу багатотиражку! Де ведеться робота, виконуються плани, закриваються діри, оновлюється софт, з'являються нові технології захисту. Набагато частіше опис подій в IT Security скидається на вісник апокаліпсису — весело, видовищно, але зовсім не круто. А на цьому тижні, так, все було досить позитивно. Епічних провалів не було, зате трапилася пара анекдотичні історій. Всі випуски — тут.

У фірмовому софті Lenovo SHAREit виявлений вшитий пароль. Вгадайте який.
Новина. Security advisory Lenovo.

Lenovo Shareit — це стандартна програма, яку можна знайти на багатьох ноутбуках на Windows і смартфонах на Andoid, що випускаються цією компанією. Якщо ви, звичайно, після покупки нічого в системі не міняли. Переслідує ця програма, загалом-то, благу мету: дає можливість обмінюватися файлами між ноутбуками або між лаптопом і смартфоном відносно просто. Якщо в смартфонах така фіча може бути реалізована і іншими шляхами, то в Windows все складніше (але Dropbox вам допоможе). Працює програма просто: створює тимчасову точку доступу, до якої підключається другий пристрій, і передає дані. Правда ця простота позірна: всередині (Windows) там є і вбудований веб-сервер і багато чого ще.

Так от, клієнт для Windows створював тимчасову WiFi мережу з вшитим паролем, який користувач не міг змінити. Загалом-то це така рутиннная уразливість, яка зустрічається багато де — від копійчаних веб-камер до промислових маршрутизаторів, але є нюанс. Пароль — 12345678. Найтяжчий гріх Lenovo (а швидше за все незалежного розробника-підрядника) виявився в тому, що компанія приготувала смачну їжу для анекдотів. У списку найгірших паролів, які в принципі можна придумати такий пароль: завжди на топових місцях.



Впевнений на 100%, що система взаємодії двох пристроїв, і особливо такий пароль взагалі не проходили security-аудит, і жодна людина, яка має хоча б віддалене відношення до безпеки у роботі не брав. Насправді все трохи складніше, ніж описують Core Security виявила вразливість (та що там вразливість, провал!). У клієнта під Windows є захищений режим, де пароль для мережі WiFi можна вибирати самостійно. Але за замовчуванням використовується небезпечний пароль, тому що, вважаю, так буде зручніше користувачам. Ось від такого ставлення вендорам точно треба позбавлятися — зробити зручно і безпечно завжди можливо, і це проблема розробника, а не користувачів, яким, мовляв, «важко освоювати технології».

А що в Android-версії? Там інша проблема — пароля взагалі немає. Тобто до тимчасово створюваної мережі може підключитися хто завгодно. Більш того, в будь-якому випадку дані передаються по HTTP, тобто перехопити їх (знаючи пароль або підключаючись до відкритої мережі) не складе ніякої праці. Нарешті, підключився до створеної програмою на Windows точки доступу може переглядати список файлів на комп'ютері, за допомогою запитів до того самого вбудованого веб-сервера. Всі? Ні, не всі. Windows-клієнт ще можна атакувати, перевернувши його.

Загалом-то все не так погано. Пристрої стають вразливими тільки на відносно недовгий час підйому точки доступу. Завантажувати будь-які файли з Windows-системи не вийде. Але перехоплення передаваних даних, досить легко організовуваний — це погано. Пароль 12345678 — це дуже погано, причому система не стала б безпечніше, якщо б там було щось інше. Це питання репутації. Адже Я вже говорив, що чим далі, тим важливіше для компаній буде репутація у сфері безпеки?

захищеного комплексу для конференц-зв'язку прибрали вшитий бекдор
Новость.

Хочете більше вшитих паролів? Їх є у мене. Компанія AMX спеціалізується на розробці пристроїв для аудіо і відеоконференцій, з аспектом на безпеку — її продукція використовується у тому числі у військових і в держструктурах США. Сучасна конференц-зв'язок — по суті спеціалізована комп'ютерна мережа, і уразливість була виявлена в пристрої AMX NX-1200, що представляє собою, якщо коротко, суміш мережевого концентратора з конвертером для різних аудіо-та відеопристроїв. У цьому пристрої компанія SEC Consult і нашла недокументовану обліковий запис, що дозволяє віддалено підключитися до нього.

Далі знову починається анекдот. По-перше, прихована обліковий запис іменувалася «Чорна вдова».



По-друге, коли фахівці з безпеки поінформували вендора, там «вирішили проблему», видаливши «Вдову», але додавши інший обліковий запис по імені «Бетмен». Бетмен! Ну, точніше, мова йшла про якийсь 1MB@tMan. Тобто з одного боку ми маємо мережеву інфраструктуру, яка встановлена в Білому домі, на авіабазах і у американських морпіхів, а з іншого — акаунти «Бетмена» і «Вдови».



Не ОК. Втім, за підсумками обидві прихованих облікові записи були видалені у черговому оновленні прошивки.

Amazon безкоштовно роздає клієнтам сертифікати для HTTPS
Новость.

Для різноманітності, новину без анекдотів. Рік тому компанія Amazon вирішила стати центром, що дозволило їй випускати власні сертифікати SSL/TLS. На цьому тижні було оголошено, що користувачі хмарних сервісів Amazon зможуть отримати сертифікати безкоштовно, для підключення відвідувачів по HTTPS. Схожа ініціатива " let's Encrypt, також нещодавно запустила видачу безкоштовних сертифікатів, роздає їх «безкоштовно, всіх, даром, і нехай ніхто не піде скривдженим», хоча і з обмеженнями. Процес отримання сертифіката там дійсно простий і максимально автоматизований, що правда призвело і до появи шкідливих сайтів з підтримкою HTTPS. Хорошу ідею втім, це ніяк не псує.

У Amazon сертифікати камера хоч і марно, але не всім. Поки що сертифікати будуть лунати клієнтам, які використовують сервіси Elastic Load Balancing і Amazon CloudFront, але не EC2. Тобто ставка на невеликих замовників не робиться, і філантропією тут не пахне. У будь-якому випадку добре, що сертифікати SSL/TLS, які у комерційних провайдерів коштують зовсім недешево, стають приємним бонусом і конкурентною перевагою. Це означає, що частка зашифрованого трафіку буде зростати.

Що ще сталося:
На Samsung подали в суд, вимагаючи змусити компанію оновлювати Android частіше, не залишати без підтримки старі пристрої і так далі. Цікаво, але я не впевнений, що технічну проблему в принципі можна вирішити в суді.

Виявлена минулого тижня уразливість в ядрі Linux, запатчена в Android. Google стверджує, що піддаються пристроїв не так багато, завдяки політикам SELinux. Perception Point, виявила вразливість, не згодна і обіцяє найближчим часом організувати зрив покривів. Чекаємо!

Давнину:
«Condom-1581»

Резидентний безпечний вірус. Стандартно записується в запускаються .COM-файли (крім COMMAND.COM). Перехоплює int 8 і int 21h. Містить текст: «command». В залежності від значення системного таймера вірус виявляє поетичні здібності і виводить на екран наступне твір:



Цитата по книзі «Комп'ютерні віруси в MS-DOS» Євгена Касперського. 1992 рік. Сторінка 63.

Disclaimer: Дана колонка відображає лише приватна думка її автора. Воно може збігатися з позицією компанії «Лабораторія Касперського», а може і не збігатися. Тут уже як пощастить.

Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.