21 апреля, 2017
Ай-да новости: о патчах, громе и мужиках.
«Тятя, тятя, наши сети притащили…» Да, уж, действительно, регулярно наши сети «притаскивают» на берег какие-нибудь непростые новости, от которых леденеет, седеет и даже иногда вызывает нервный смех и фейспалмы. Ну, что, готовы поулыбаться и пофейспалмить над уловом этой недели? Сегодня блюдо дня — уязвимости и разгильдяйство.
1. Пока гром не грянет, мужик не.
На днях мы опубликовали любопытное исследование, которое наглядно подтверждает, что каждый сам кузнец своего счастья и несчастья тоже. Вот например, такая больная тема, как уязвимости в программном обеспечении. Есть софт, в котором баги найдены, софт, в котором баги найдены и пропатчены и софт, в котором баги ещё не найдены. Т.е. уязвимости есть в каждом софте и никуда от этого не деться, поскольку не существует технологии создания абсолютно идеального программного кода. Errare humanum est (с). Ты видишь суслика? Нет? А он есть… (c)
Но! Как бы быстро и эффективно разработчики не патчили свой софт, в конечном счёте температуру по больнице определяют именно пользователи. Точнее — насколько быстро они устанавливают патчи. И вот здесь, увы, ситуация оказывается очень унылая. Выпускай, не выпускай патчи — пользователю, как показало исследование, это фиолетово :( Да, трудно себе представить, чтобы кому-то собственная безопасность была фиолетова, но это так и, причём, в гигантских масштабах.
Вот, например, уязвимость CVE-2010-2568, которую использовал червь Stuxnet. Эту дыру пропатчили семь лет назад, но, несмотря на это, она до сих пор в топе самых «популярных» векторов кибератак у серьёзных киберкриминальных/шпионских групп:
Почему она в топе? Неужели эти негодяи не могут накопать новых дыр? А зачем тратить время и деньги, если и эта работает? Ведь «мужик» не ставит патчи — то ли не знает, то ли действительно фиолетово… В общем, так и хочется сказать: не будь «мужиком»! В плохом смысле «мужиком». А с другой стороны, хочется обратиться и к разработчикам софта: на «мужика» надейся, но сам не плошай. Нужны более эффективные механизмы обновления ПО, которые минимизируют вовлечение человеческого фактора.
2. Атака правдорубов. Эпизод N.
Ключевое слово «ShadowBrokers» уже скоро год, как вызывает самые противоречивые чувства у разных людей в зависимости от их профессии, гражданства и прочих достоинств. В августе 2016г. неизвестные на (умышленно?) корявом английском объявили аукцион по продаже данных о кибер-шпионской операции Equation. Всего за миллион биткоинов (примерно полмиллиарда USD) хакеры предлагали полный архив с документацией и всеми остальными потрохами.
Разумеется, желающих не нашлось (или о них ничего неизвестно), но ShadowBrokers регулярно всплывали в информационном пространстве бросая в публику новые «кости» и вызывая быстрозатухающие истерики в секюрити-индустрии. И вот в апреле, так и не дождавшись условного победителя аукциона (а может они и не надеялись?), хакеры вывалили весь оставшийся архив Equation, где оказалось много всего интересного и про SWIFT и про zero-day уязвимости и прочие «ужасы нашего городка». Что интересно, Microsoft пропатчил свои уязвимости ещё в марте, при этом не указав источник сведений. Это позволило некоторым экспертам выстроить конспирологические теории о тайной связи Microsoft с NSA. Впрочем, как писал Джозеф Хеллер, «Если ты параноик, это не значит, что за тобой не следят».
Как бы то ни было, теперь мяч на стороне пользователя (см. п.1 выше). Не откладывай на завтра патч, который можно установить сегодня! Мы, кстати, тоже изучаем архив ShadowBrokers, ничего зеродейного и применимого к нашим продуктам не нашли. Весьма вероятно и не найдём. Недавняя утечка Wikileaks, якобы содержащая сведения об уязвимости самых популярных антивирусных продуктов, показала, что все дыры уже закрыты.
3. Интернет дурных вещей.
Использование «умных» бытовых девайсов напоминает безответственный секс. Вкорячить смарт-холодильник или пылесос, удалённо управляемый термостат или тем круче, обвязать сетевыми протоколами весь дом, — это доступно, просто и уже стало дёшево. Но вкорячить — одно, а вот задуматься о последствиях — совсем другое. Насколько эти устройства защищены? Какие последствия могут быть в случае взлома? Последствия и для вашего дома и для других — ведь те же смарт-холодильники могут использоваться для кибератак на другие цели?!
Так вот: я уже много раз говорил (и не только я) — «Интернет вещей» очень фигово защищён. Безопасность, увы, далеко не приоритет производителей. И перед внедрением любого «умного» девайса нужно внимательно изучить его защищённость, сменить пароли и установить патчи. Как минимум.
Доказательство катастрофическому положению вещей — свежее исследование, представленное на Security Analyst Summit 2017.
Кратко: эксперт выставил в Сеть ловушки из уязвимых устройств (в частности, IP-камеры и домашние Wi-Fi роутеры) и в течение двух лет наблюдал кто и как их ломает. Ну, что вам сказать — шансов НЕ быть взломанным при использовании девайсов as is, с настройками по умолчанию практически нет. Подробности читайте здесь.
Что настораживает: очень, ОЧЕНЬ многие пользователи именно так и поступают. Купил девайс, воткнул в розетку, подключил Интернет и забыл. А девайс, между тем, такие вещи вытворяет… В общем, перефразируя поговорку ещё раз — на производителя не надейся и сам не плошай. Возвращаясь к п.1 выше, включай голову, ставь патчи и пользуйся хорошей защитой от уязвимостей для нередких случаев отсутствия патчей.