19 августа 2014

Чем запомнилась конференция Black Hat

Безопасность Новости

Каждый год в начале августа внимание всего сообщества специалистов в области информационной безопасности (в том числе и хакеров) оказывается приковано к Лас-Вегасу, где проходит ряд специализированных конференций и саммитов: Black Hat, DEF CON и другие. Кстати, несмотря на свою изначальную бизнесовую ориентированность, мероприятие Black Hat в последние годы стало куда интереснее для простых пользователей, поскольку раскрывает тему уязвимостей «умных» домов, мобильной электроники и прочих устройств, так или иначе подключаемых к Интернету.

Black Hat

С одной стороны, это хорошо, ведь таким образом мы сможем больше узнать о безопасности того, с чем мы имеем дело каждый день. С другой стороны, это печально: ведь переориентирование крупнейшей security-конференции на потребительские темы означает, что опасные уязвимости подбираются к нам настолько близко, что уже практически угрожают нашим жизням. В буквальном смысле.

Главная презентация

В этом году главное выступление на Black Hat состоялось благодаря известному и весьма уважаемому эксперту Дэну Гиру (Dan Geer), директору по безопасности компании In-Q-Tel. В отличие от прошлого раза, когда выступал бывший директор АНБ Кит Александр (Keith Alexander), у сцены не было вооруженной охраны, а среди зрителей не наблюдалось ребят с тухлыми яйцами наготове. Вместо этого аудитория ловила буквально каждое слово, произнесенное Гиром со сцены во время часового выступления, посвященного десяти заповедям безопасности.

Дэн Гир

Из наиболее интересных мыслей, высказанных экспертом, можно выделить четыре:
— США могут загнать в угол теневой рынок уязвимостей, выкупая выставленные на продажу баги в ПО по десятикратной цене и размещая их в публичном репозитории, дабы компании имели возможность закрывать дыры оперативнее;
— из трех благ — безопасность, свобода и удобство — современный человек может довольствоваться одновременно лишь двумя на выбор;
— религия и программное обеспечение — две единственные вещи, ответственности за качество которых не существует;
— интернет-провайдеры должны или брать деньги за поставляемую информацию, беря на себя ответственность за ее содержимое, или же соблюдать так называемый Сетевой Нейтралитет со всеми вытекающими отсюда последствиями.

 

Медицинское оборудование подвержено уязвимостям не меньше, чем обычные компьютеры

Относительно последнего пункта Гир подчеркнул, что «провайдеры могут выбрать или одно, или другое, но никак не то и другое одновременно».

Взламывая людей и больницы

Тезис о том, что некоторые современные уязвимости настолько серьезны, что буквально угрожают нашим жизням, хоть и звучит несколько наигранно, все же имеет под собой веские основания. В частности, когда речь идет о медицинском оборудовании — том, которое установлено в больницах и непосредственно внутри тел некоторых пациентов. Атака злоумышленника на подобное «железо» — вопрос времени, поскольку технически осуществить несанкционированное проникновение в сложные медицинские девайсы не так уж и сложно. Собственно, в случае с медоборудованием уязвимости мало чем отличаются от тех, что обнаруживаются в обычных компьютерах, и зачастую связаны с коммуникациями между устройствами, что позволяет атакующему взять управление на себя и наделать плохих дел. Конечно, вероятность того, что убийца воспользуется столь специфическим методом устранения цели, ничтожно мала, особенно учитывая разнообразие куда более привычных и, простите уж за цинизм, эффективных путей решения проблемы. Реальный риск лежит в несколько иной плоскости.

Кто ответственен за выпуск патчей для уязвимых медицинских устройств? Кто несет ответственность за их установку? За чей счет все это должно происходить? К сожалению, ответы на эти и другие вопросы неочевидны, ведь есть не только производитель оборудования, но и те, кто его покупает, устанавливает и эксплуатирует. На ком из них лежит ответственность? А ведь тем временем современные устройства вроде цифровых инсулиновых помп, МРТ-сканеров, рентгеновских машин и даже обычных компьютеров, с которыми работают врачи, требуют регулярного обновления ПО и латания дыр. В противном случае нельзя быть уверенным в том, что однажды в организм больного, например, не поступит смертельная доза инсулина.

С другой стороны, радует тот факт, что данными вопросами специалисты озаботились уже сейчас, а не после того, как грянул гром, как это обычно бывает в ИТ-индустрии.

Зловредный USB

Еще одно выступление, ради которого стоило посетить Black Hat, стало возможным благодаря специалисту по вопросам безопасности Карстену Нолу (Karsten Nohl), который рассказал об уязвимости, имеющей все шансы стать самой глобальной за всю новую историю компьютерных технологий. Речь идет о USB — шине, поддержка которой реализована практически в любой современной компьютерной технике: от ноутбуков и смартфонов до часов и бытовой техники.

Карстен Нол

Нол разработал эксплойт BadUSB, при помощи которого можно фактически перехватить управление практически любым поддерживающим USB устройством. При этом вредоносный код работает, находясь непосредственно в USB-контроллере, позволяя злоумышленнику превратить в заражающее устройство что угодно: хоть флешку, хоть клавиатуру, хоть сам компьютер. При этом стопроцентного способа определить наличие вредоносного кода в чипе-контроллере пока что не существует. Но что еще хуже, так это тот факт, что взять и закрыть уязвимость невозможно, так как ее существование определяют положенные в основу стандарта USB фундаментальные принципы. Иными словами, USB будет уязвим для этого и подобных вредоносов до тех пор, пока он работает по принятым стандартам. Что делать? Ну, как минимум не использовать чужую периферию со своими устройствами, равно как и не подключать свои девайсы к чужим без острой необходимости.

Во всем виноваты спутники

Исследователь из компании IOActive Рубен Сантамарта (Reuben Santamarta) выяснил, что практически все устройства, так или иначе взаимодействующие со спутниками, содержат ряд уязвимостей, включая бэкдоры, небезопасные протоколы передачи данных, жестко прописанные учетные данные и т.д. Все они, по словам эксперта, могут дать злоумышленнику возможность получить несанкционированный доступ к устройству и его функциям. Конечно, подобные телекоммуникационные устройства довольно редко встречаются в повседневной жизни, так что проблема едва ли может нанести вред простым пользователям, но зато может заметно усложнить жизнь тем, кто служит на флоте и в армии, работает в спасательных службах и на отдаленных от основной цивилизации объектах, зачастую критически важных. Словом, всем, кто по долгу службы вынужден находиться далеко от наземных телекоммуникационных сетей.

К счастью, тестирование показало, что ни одна из работающих в той или иной области систем не содержит признаков компрометации, но это не значит, что содержащиеся в ней уязвимости не будут использованы в будущем.

Вот, пожалуй, и все, что запомнилось с прошедшей в Лас-Вегасе конференции Black Hat. Встретимся через год.