5 Февраля, 2019

Security Week 05: принтеры, камеры, 7zip и вопросы этики

Лаборатория Касперского

В конце ноября 2018 года офисные и домашние принтеры по всему миру распечатали сообщение, призывающее подписываться на ютубера PewDiePie. Произошло, это, естественно, без ведома владельцев принтеров, и скорее всего сам PewDiePie тут ни при чем. Взломщик, называющий себя TheHackerGiraffe, атаковал более 50 тысяч принтеров, настроенных так, что их службы печати (Internet Printing Protocol и Line Printer Daemon) были доступны из Интернета. Список уязвимых принтеров был собран с помощью специализированного поисковика Shodan.io, остальное было делом техники.

Атакой на принтеры история не закончилась: позднее были взломаны смарт-телевизоры, а недавно — веб-камеры Nest, с похожими ссылками на PewDiePie. Эта в целом бессмысленная затея привела к появлению уже чисто криминального сервиса по «принтерному партизанскому маркетингу». Поговорим об этих инцидентах подробнее, а заодно обсудим различия между нормальными исследователями по безопасности и такими вот IoT-вандалами.

Сообщение, распечатанное на десятках тысяч принтеров по всему миру, выглядело примерно так:

03966729253a31a97ac7a1ce622a109a.png

Ответственный за взлом «хакер Жираф» в своем твиттере охотно делился деталями атаки (позже все сообщения были удалены). Список IP уязвимых принтеров он загрузил с Shodan в пятидолларовый облачный сервер, где использовал комбинацию опенсорсного ПО для отправки на печать PDF и вывода сообщения о взломе на экран принтера. Буквально через неделю после данного перфоманса исследователи из компании GreyNoise перехватили еще один документ, запрос на печать которого массового рассылался с единственного IP, вот такой:

238e062e515f1bda981308c0f5eaaf4c.png

В документе предлагались услуги «партизанского маркетинга» — аналог объявлений на асфальте, только, так сказать, в цифровом пространстве. Подобные события на самом деле происходят нечасто. Можно сравнить принтерный инцидент с безопасностью роутеров — в их случае взлом устройства обычно не афишируется, просто по-тихому извлекается прибыль. Интересно, что тот самый «Жираф» объяснялся с публикой терминами честных исследователей по безопасности — типа он так «информирует общественность» о рисках неправильно настроенных устройств. Общественность, конечно, была проинформирована, но в идеальном мире путь к улучшению безопасности лежит через работу с производителями принтеров и их установщиками — как минимум стоит разобраться, почему выходит так, что локальный сервис печати смотрит в Сеть.

Инциденты с упоминанием одиозного видеоблогера PewDiePie продолжились и в этом году. В середине января с похожими сообщениями, призывающими подписываться на ютубера, была атакована многопользовательская игра Atlas. А на прошлой неделе издание Motherboard опубликовало видео взлома сетевых видеокамер Nest. Уязвимости в инфраструктуре Nest не использовались. Вместо этого был применен метод credential stuffing — попытка подбора пароля к личному кабинету на основе утекших баз данных. Если вам интересно, как именно будут использовать ваш пароль из очередной утечки , — то, например, вот так. Это не масштабная атака, но хакеру удалось взломать около 300 учетных записей. Доступ в личный кабинет Nest дает возможность контролировать домашние IoT-устройства, причем можно не только перехватывать видеопоток с камер, но и общаться через них с владельцами. Звуковые сообщения призывали подписываться на… Ну, вы поняли.


Somebody is scanning the internet and playing YouTube videos to exposed Chromecast, Google Home and Samsung TVs - they're at about 4000 devices so far https://t.co/Rf0QMmnMTO pic.twitter.com/1XaFrvzmft
— Cybersecurity Beaumont (@GossiTheDog) January 2, 2019


Наконец, сразу после Нового года тот же «Жираф-хакер» сканировал сеть с целью поиска незащищенных устройств, поддерживающих протокол Chromecast, приставок к телевизору или самих умных ТВ. Всего было найдено несколько десятков тысяч устройств, на которые передавалась команда на воспроизведение видеоролика, призывающего все к тому же. Выводов из этих историй есть два. Во-первых, желательно не пускать IoT за пределы локальной сети. Это так себе совет, так как решение о подключении к внешним серверам за вас обычно принимает производитель умного устройства. Во-вторых, подобный хакерский акционизм может использоваться для уничтожения репутации людей или компаний. У PewDiePie репутация и так сомнительная, но дело не в этом: после бессмысленных акций ради пиара вновь открытые методы берет на вооружение криминал. Особенно такие простые.

b0af6042c6860d0672f115c5dd4d9126.png

Наконец, вот вам еще один тред из Твитера. Исследователь решил посмотреть код опенсорсного архиватора 7-zip, отвечающий за создание защищенных архивов. Такие архивы можно открыть только с помощью паролей, а содержимое шифруется с использованием алгоритма AES. В крайне эмоциональных выражениях исследователь сообщает следующее: реализация алгоритма шифрования далека от идеальной, используется ненадежный генератор случайных чисел. Кроме того, ставится под сомнение надежность открытого ПО в целом — ведь некорректный алгоритм был у всех на виду. Обсуждаются качества разработчиков, которые говорят о параноидальных «бэкдорах» в системе шифрования, вместо того чтобы допиливать собственный код до минимальных стандартов.

Но, в отличие от всех предыдущих историй, эта, кажется, закончится хорошо: тот же исследователь сообщил о баге разработчикам и помогает им исправить ситуацию (которая на самом деле не такая уж и плохая). Говоря об этике в сфере инфобезопасности, нужно не забывать, что люди бывают разные, и реагируют на те или иные проблемы в защите софта и устройств они по-разному, в том числе и вот так — слегка несдержанно. Этический хакинг — это прежде всего желание помочь исправить баг или уязвимость. А вот использование уязвимостей для организации клоунады за счет ничего не подозревающих жертв — это не ок.

Disclaimer: Мнения, изложенные в этом дайджесте, могут не всегда совпадать с официальной позицией «Лаборатории Касперского». Дорогая редакция вообще рекомендует относиться к любым мнениям со здоровым скептицизмом.