Security Week 40: баг в systemd, 20 вразливостей в роутері D-Link, злом інсулінових помп

Одразу два популярні новини на цьому тижні піднімають важливу тему оцінки серйозності вразливостей зокрема і визначення безпеки софта або заліза взагалі. По порядку: 3 жовтня засновник сервісу SSLMate Ендрю Айер повідомив про уразливості в демона ініціалізації systemd (новость, оригінальний пост Айера). Вразливість типу denial of service експлуатується тільки локально. Будь-який користувач ввівши команду NOTIFY_SOCKET=/run/systemd/notify systemd-notify "" може підвісити систему. Баг, викликаний неправильною обробкою повідомлення нульової довжини, і вже закритий, проіснував в systemd два роки, починаючи з версії 209.

Маючи масу прикладів для порівняння (Shellshock, наприклад, або той же Heartbleed), можна цілком впевнено стверджувати, що це далеко не найстрашніший у світі баг. Тим не менш, срач обговорення проблеми вийшло масштабне. Причина в доступному описі бага: «можна підвісити систему повідомленням, яке поміщається в один твіт». І в різкої реакції CTO компанії Pantheon, активно підтримує systemd. Далі скрізь, аж до нового витка обговорення особистості творця systemd (не буду його називати, а то і тут почнеться).

Загалом, обговорювали все, що завгодно, тільки не сам баг, який, дійсно, не так вже жахливий, хоча і серйозний. Це дійсно важлива тема: вразливостей намагаються судити про якість продукту. Типовий приклад такого підходу — рейтинги софта з найбільшою кількістю виявлених дірок. Спробую запропонувати своє трактування: вразливість — це в більшості випадків просто вразливість, саме по собі виявлення проблеми ніяк не кваліфікує софт або залізяку. А щоб обґрунтувати це твердження, нам знадобиться обговорити роутер D-Link.

Дослідник знайшов 20 вразливостей в роутері D-Link DWR-932B
Новость. Исследование.

Дослідник П'єр Кім провів аналіз роутера D-Link DWR-932B з точки зору безпеки. Даний роутер являє собою портативний пристрій з вбудованим 4G-модемом. Результати дослідження показали, що захист пристрою, скажімо так, далека від ідеалу. Автор висловлюється більш прямо і пропонує просто позбуватися таких пристроїв — мовляв, нічого вже не вдієш. Деталі вразливостей можна подивитися за посиланнями вище, я просто наведу коротку витримку:



— Вшитий пароль адміністратора при доступності підключення по telnet і ssh за замовчуванням
— Бекдор, що дозволяє контролювати пристрій взагалі без пароля
— Зашитий дефолтний PIN для підключення по WPS
— Генерація PIN по передбачуваному алгоритмом (на основі поточного часу). Актуально у випадку, якщо власник все ж активує процедуру генерації у веб-інтерфейсі, інакше — див. попередній пункт
— Нащо-то в прошивку вшитий аккаунт на сервісі No-IP (динамічний DNS)
— Багато різних уразливостей у веб-інтерфейсі
— Завантаження оновлень по HTTP, при авторизації на сервері з дефолтними вшитим паролем (передбачено підключення по HTTPS, але термін дії сертифіката минув)
— Небезпечна реалізація протоколу uPnP

Аргументація П'єра Кіма наступна: з роутером можна робити все, що завгодно, аж до заміни прошивання. Останнє навряд чи знадобиться, так як перехопити контроль можна і іншими способами. В новини наводиться цікава передісторія робіт Кіма (D-Link став не першою «жертвою» дослідника) і приклади труднощів, з якими стикаються розробники роутерів, особливо коли мова йде про моделі, знятих з виробництва. В даному випадку, до речі, у D-Link говорять про це ж, хоча на сайті компанії модель позначена як актуальна.

Повертаюся до своєї тези. У більшості випадків уразливість — це просто вразливість, і вона ніяк не характеризує софт або пристрій. В сучасних реаліях інфобезпеки навряд чи вийде робити софт, абсолютно позбавлений багів. Характеристика вендора, з точки зору безпеки, складається з того, як компанія реагує на інформацію про вразливості, наскільки швидко і ефективно закриває їх. У будь-якому випадку єдиних правил оцінки софта, сервісів, пристроїв навіть за цими критеріями поки немає.

А непогано було б.

Виявлена уразливість в системі віддаленого управління інсуліновими помпами OneTouch Ping
Новость. Исследование Rapid7.

Закінчимо більш оптимістичним прикладом взаємодії дослідника, вендора і навіть держрегулятора. Хоча привід, відверто кажучи, гнітючий. Компанія Rapid7 виявила вразливість в інсулінових помпах OneTouch Ping, що випускаються компанією Animas Corp., підрозділом Johnson & Johnson. Небезпечний протокол взаємодії між ін'єктором і пультом дистанційного керування дозволяє змінювати параметри роботи медичного пристрою.



Пульт і помпа спілкуються по радіоканалу на частоті 900 Мгц, при з'єднанні обмінюються ключами, але недостатньо захищений алгоритм дозволяє перехопити контроль і, як мінімум, розшифрувати передану інформацію про стан пристрою. Є й більш простий спосіб: у Rapid7 з'ясували, що пристрій ніяк не захищене від повторного відтворення комунікації між легальним пультом і помпою. Тобто можлива атака, коли з цього пульта передається команда на збільшення дози інсуліну, а з «підробленого» вона відтворюється повторно, з теоретично можливістю передозування медикаментів.

І дослідники, і вендор стверджують, що ймовірність застосування атаки на практиці невелика. Для цього потрібно перебувати в безпосередній близькості від власника пристрою (близько 3 метрів), хоча повторне відтворення даних можна успішно провести більш потужним передавачем хоч за кілометр. Виробник почав розсилати клієнтам рекомендації щодо усунення ризику: можна відключити можливість дистанційного керування в принципі. Крім того, можна запрограмувати попередження при виході дозування ліків за безпечні межі.

Зовсім усунути уразливість відразу не вийде, так як помпа не має підключення до інтернету (і добре, мабуть, що не має). Дії компанії-дослідника (вони розкрили інформацію тільки зараз, хоча виявили проблеми ще в квітні) та вендора були позитивно оцінені регулятором — американським держагентством Food and Drug Administration. Для порівняння можна згадати приклад неправильного підходу до досліджень вразливостей в медицині. Цього літа компанія MedSec знайшла вразливість у кардіостимуляторах, але чомусь розкрила інформацію не виробнику, а інвестиційної компанії, яка й оприлюднила дані (тепер там все безнадійно загрузли в судових позовах).

Де еталонна безпека точно потрібна, так це у медичних пристроях.

Що ще сталося:
Yahoo обвиняют в потуранні американській розвідці (масова стеження за поштовим листуванням). Найгучніша новина тижня, але без реальних фактів і підтверджень з чиєї-небудь сторони.

Одна з найбільш потужних DDoS-атак, сталася два тижні тому, дійсно проводилася ботнетом з IoT-пристроїв (конкретно — веб-камер). А тут ще хтось виклав исходники коду, що використовується для автоматичного пошуку і злому вразливих пристроїв.

Давнину
«Stone-Sex-a,-b»

Вражають диски при зверненні до них (int 13h, ah = 2, 3). Зберігають старе вміст змінюваних секторів (Boot-сектор у флоппі-диска і MBR у вінчестера) за адресою 1/0/3 (голівка/трек/сектор) для дискет або 0/0/8 (0/0/7 в залежності від версії вірусу) для вінчестера. При завантаженні з зараженого флоппі-диска з імовірністю 1/3 повідомляють:

«Stone-Sex-a» — «EXPORT OF SEX REVOLUTION ver. 1.1»
«Stone-Sex-b» — «EXPORT OF SEX REVOLUTION ver. 2.0»

Цитата по книзі «Комп'ютерні віруси в MS-DOS» Євгена Касперського. 1992 рік. Сторінка 98.

Disclaimer: Ця колонка відображає лише приватна думка її автора. Воно може збігатися з позицією компанії «Лабораторія Касперського», а може і не збігатися. Тут уже як пощастить.
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.