Security Week 52: The Greatest Hits

Security Week 52: The Greatest Hits
Запомните этот пост, через 10 лет все будут говорить: вот, все правильно в дайджесте написали. Или наоборот: вообще не угадали, ни в одном месте. Предсказывать будущее — занятие, обреченное на провал, так как предсказание всегда основано на знаниях о настоящем и прошлом. Наступающий 2019 год описан в «Бегущем по лезвию бритвы» Филипа Дика, который-таки умел предвидеть. Согласно роману (и немного — фильму), мы все живем в неблагополучном мире, где постоянно идет дождь, есть летающие автомобили и роботы, но совсем нет животных.

Именно поэтому предсказания экспертов «Лаборатории Касперского» очень практичные, они скорее рассчитаны на безопасников, которым нужно определить тренды на следующий год. Но все же давайте попробуем выбрать события 2018 года, которые могут стать основой чего-то большего в информационной безопасности, актуального в течение долгого времени. При подготовке использовались материалы из этого блога за весь год, так что перед вами уникальный формат: дайджест дайджестов.


Spectre и Meltdown

Уязвимости, модификация Spectre с возможностью перезаписи доступных только для чтения ячеек памяти или NetSpectre — атака, которую можно проводить и удаленно, по сети, да еще и без выполнения кода на атакуемой системе.

Все Spectre-подобные атаки относятся к категории атак по сторонним каналам: когда какая-то секретная информация передается не в открытом виде, а добывается исходя из анализа времени отклика или (в случае традиционных атак side channel) флюктуаций потребляемого устройством тока. В общем, это такой аналог шпионского устройства для «подслушивания» вибраций стекла в комнате, где ведется разговор. Пока рано говорить о каком-то практическом применении этих атак. Например, в случае с NetSpectre в идеальных условиях удалось добиться «кражи» секретных данных со скоростью четыре бита в минуту. И никто пока даже не обсуждает, а те ли это данные, которые нужны — в смысле, есть ли среди них реально важная информация. Исследования вокруг Spectre могут «выстрелить» лет через 10, а могут так и остаться нишевой темой защиты устройств, где нужно защищать вообще все и от всего, во избежание.

Существует ли аналогичная история, в которой чисто научное исследование приобрело практические очертания, чтобы сроки оценить? Можно посмотреть на функцию криптографического хеширования показали смешную для какой-нибудь государственной разведслужбы цифру в 49 дней. Этого было достаточно, чтобы признать алгоритм хеширования ненадежным: в 2017 году его перестали использовать для генерации SSL-сертификатов производители всех основных браузеров. В том же году исследователи из Google и CWI Institute показали практическую атаку: создали два разных PDF, которые дают одинаковый хеш при использовании SHA-1.

Итого, 22 года существования технологии, 12 лет научных исследований и, заметьте, никакой пользы киберкриминалу: даже эксперимент с двумя PDF как был чисто научным упражнением, так и остался. Spectre может стать реально опасным, если производители процессоров продолжат его игнорировать, а они иногда пытаются: новые исследования по теме иногда сопровождаются комментариями вендоров, что это, мол, стандартное поведение, фича, а не баг.


Машинное обучение

Исследование о восстановлении картинки на мониторе по характеру шума, издаваемого блоком питания этого самого монитора, тоже выглядит сомнительно с точки зрения реального применения. Тем не менее, у исследователей, хоть и с большими оговорками, получилось восстановить картинку на экране дисплея, записывая и анализируя только писк системы питания, используя сверточные нейронные сети и натаскивая их на сравнении паразитного шума и изображения. В некотором смысле это тоже атака по сторонним каналам: захват данных через то место, в котором никто не ожидал провала.

А вот это в «Бегущем по лезвию бритвы» (на этот раз в фильме) как раз хорошо предсказано — в соответствующей времени съемки кондовой восьмибитной стилистике:

посвящен уязвимостям в роутерах Mikrotik, D-Link и TP-Link. Приравнивание роутеров к Интернету вещей — спорная мысль, будем формулировать аккуратно: серьезные риски в будущем будут представлять устройства, работающие автономно, общающиеся в основном с себе подобными и делающие это так, что мало кто в курсе, что именно там происходит. Роутеры — это такая показательная жертва, так как последние пару лет атакуются они массово, имеют все признаки автономных устройств, а их компрометация рано или поздно становится заметной.

Очевидные жертвы небезопасного IoT будущего — это умные колонки и прочие круглосуточно следящие за владельцем устройства. Новости про них пока напоминают анекдоты: то умная колонка посреди ночи начинает хихикать , то житель Германии по запросу в рамках GDPR получает от Amazon голосовые записи совершенно другого человека . Все, что подключено к вашей домашней сети и имеет собственные отношения с внешними серверами, потенциально уязвимо. Пока дискуссия вокруг умных устройств вращается только вокруг приватности, но не исключено, что скоро речь пойдет об изоляции IoT от всего остального: зачем вашему электросчетчику иметь доступ к вашей файловой шаре?

В представлениях о будущем мы часто склонны скатываться в крайности: будет либо прекрасная утопия, либо киберпанковский мрачняк. Дорогая редакция предполагает, что все будет достаточно неплохо, пусть и без летающих автомобилей. Но даже если и так, эпоха «персонального компьютера» как полезного, но необязательного устройства типа калькулятора, заканчивается. Начинается время, в котором люди полностью встроены в сеть, взаимодействуют с ней каждую минуту и зависят от нее. Значит, не стоит легкомысленно относиться даже к теоретическим угрозам работоспособности этого мира. Этот мир бывает разный, но в целом он достаточно неплохой, чтобы стараться его не поломать. Получится ли? Будем продолжать наблюдение. С наступающим! Первый дайджест нового года выйдет 14 января.

Disclaimer: Мнения, изложенные в этом дайджесте, могут не всегда совпадать с официальной позицией «Лаборатории Касперского». Дорогая редакция вообще рекомендует относиться к любым мнениям со здоровым скептицизмом.
Alt text