Security Week 05: вход в Facebook по жетону, уязвимости в роутерах Netgear, сам-себе-DDoS в британском минздраве

    Кибербезопасность — это не обязательно защита от внешних кибератак. Как сообщает британское издание The Register, 14 ноября прошлого года день в британском минздраве (National Health Service) не задался. Утром сотрудница создала новый список рассылки для коллег из собственного небольшого отдела. После создания списка она отправила туда пустое сообщение с темой «Тест».

    Как выяснилось позднее, в системе создания списков рассылки был выбран пункт «только сотрудники моей организации», что на самом деле означало «все сотрудники, вообще все», а их, на минуточку, в отделении NHS в Англии 850 тысяч человек. После того, как тест был отправлен, примерно 80 раздраженных коллег ответили в список рассылки с просьбой исключить их немедленно. И пошло-поехало.

    По данным источников The Register, всего за час с небольшим по почтовой системе департамента пронеслось около 500 миллионов почтовых сообщений, что вызвало задержки в доставке обычных писем в течение дня. К чести сотрудников внешнего подрядчика, ответственных за настройку почты, система так до конца и не упала, несмотря на внезапно открывшийся коллективный чатик. В итоге все равно виноватым сделали подрядчика, заставили доработать систему создания списков рассылки и отключили ее от греха подальше. Такой вот самопроизвольный DDoS.

    Facebook добавил факторов в систему авторизации, поддерживает аппаратные токены
    Новость. Анонс Facebook.

    Facebook теперь поддерживает аппаратные токены, работающие по стандарту Universal 2nd Factor, такие как YubiKey. В настройках Facebook появилась соответствующая опция, где можно привязать токен к аккаунту и входить в соцсеть даже в том случае, если нет доступа к телефону. До этого основным методом двухфакторной авторизации в Facebook был именно смартфон: достаточно удобная система позволяла авторизоваться на новом устройстве, посмотрев код авторизации на уже залогиненном телефоне, или получив соответствующее SMS.



    На первый взгляд авторизация по токену — не самая эффективная и удобная схема, хотя бы потому, что «вставить» жетон можно только в полноценный ПК, у мобильников и планшетов все сложнее. Даже на компьютерах пока поддерживаются только браузеры Chrome и Firefox. В будущем этот вопрос может решиться с появлением токенов, работающих через NFC без проводов. Даже если и так, ломается конструкция, когда твоим токеном служит телефон. Потерять можно, в общем, и то, и другое примерно с одинаковой вероятностью. Как резервная опция токен полезен, но есть и другие способы. Судя по всему, соцсеть в данном случае действует по правилу «не повредит». Последняя инициатива становится в ряд с другими методами по защите пользователей: от сообщения о проведении кибератаки потенциальным жертвам, до поддержки OpenPGP.

    В роутерах Netgear обнаружили уязвимость, позволяющую обойти пароль
    Новость. Исследование Trustwave. Информация на сайте Netgear.

    Рекомендую почитать рассказ Саймона Кенина по ссылке выше: редкий случай, когда процесс исследования систем защиты излагается человеческим понятным для простых смертных языком. Все началось с того, что у Саймона внезапно упал интернет, ему было лень идти до роутера и перезагружать, а пароль от веб-интерфейса был позабыт. Исследуя HTML-код страницы о неправильном вводе пароля, Саймон обнаружил строку unauth.cgi с каким-то цифровым кодом в виде параметра. Интернет к тому времени поднялся сам, благодаря чему удалось погуглить на предмет наличия уязвимостей в данной модели роутера Netgear.



    Оказалось, что уязвимость уже была раскрыта (и возможно пропатчена, но кто вообще обновляет роутеры?): если взять тот самый код из unauth.cgi и скормить его на другой технической веб-странице, то можно добыть пароль. Дальше начались натурные испытания: Саймон нашел других владельцев роутеров Netgear и решил выяснить, какие еще модели подвержены. Так как «эксплуатировать уязвимость» приходилось удаленно, он написал скрипт на питоне.

    Написал он его плохо: ошибка приводила к тому, что вместо нужного кода роутеру передавался мусор. И таки что вы думаете? Оказалось, что мусор принимается на ура, в ответ отдается пароль, и это уже совсем другая уязвимость, которой подвержены гораздо больше моделей. Уязвимость легко эксплуатируется локально, но может использоваться и удаленно, если включен удаленный доступ к веб-интерфейсу. По версии Netgear, у подавляющего большинства пользователей он выключен. По версии Саймона, может быть и так, но удаленной эксплуатации все равно подвержены сотни тысяч устройств.

    Дальше начались трудовые будни: данные были переданы производителю еще в апреле прошлого года, с тех пор шел процесс закрытия уязвимостей, продолжавшийся до прошлой недели. Это конечно позитивный пример взаимодействия исследователя и вендора, если вспомнить недавнюю историю про интернет-провайдера, который вообще проигнорировал информацию. Но не забываем, что роутеры — это сейчас наверное самые проблемные устройства с точки зрения доставки патчей до конечного пользователя.

    Древности


    «V-5120»

    Нерезидентный неопасный вирус. Стандартно инфицирует .COM- и .EXE-файлы. Начиная с 1992 года при запуске зараженных файлов сообщает «ACCESS Denied» и возвращается в DOS.

    Цитата по книге «Компьютерные вирусы в MS-DOS» Евгения Касперского. 1992 год. Страницa 93.

    Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.
    «Лаборатория Касперского»
    404.13
    Ловим вирусы, исследуем угрозы, спасаем мир
    Support the author
    Share post

    Comments 17

      +1
      Никогда не понимал, почему все эти SOHO роутеры не обновляются автоматом? Казалось бы, железка в 99.999% случаев подключена к интернету, скачай себе обновление, проверь подпись и поставь при следующей загрузке. Но нет, домашний пользователь должен зайти в веб-интерфейс, про существование которого он может быть и не в курсе, если не сам настраивал роутер, ввести пароль, который он давно забыл даже если знал, продраться через 4 менюшки, найти обновлённую прошивку на сайте производителя(иногда весьма нетривиальный квест) и наконец обновиться.
        0
        Предложу очевидный аргумент: в прошивке проблема, она ставится, роутер перезагружается и отключается от всего. Починить только личным визитом техника, что дорого.

        Сам в веб-интерфейс роутера захожу раз в год, какие-нибудь порты пробросить, заодно обновляюсь. Признак хорошего роутера, кстати :)
          0
          Роутеры стандартные, продаются десятками и сотнями тысяч. Если тестовый стенд из нескольких десятков со всеми возможными региональными настройками обновился нормально, вряд ли что-то может пойти не так. Ну плюс можно выкатить сначала случайным 0,01% пользователей. На телефоны с Андроидом производители рискуют же выпускать обновления, а ведь они куда сложнее домашних роутеров.
            0

            Если брикнется роутер, не будет возможности даже погуглить

              +1
              Кабель в сетевой разъем и гуглить. Мобильный интернет… Вариантов много. Все же пользователи прошивки роутеров и т.п. устройств сами не обновляют в 99%.
                0

                Это не всегда помогает, если провайдер привязывается к MAC адресу для безопасности. Приходится звонить, идентифицироваться и менять MAC адрес

                  0
                  Не совсем. Сейчас зачастую роутеры клонируют MAC адрес компьютера. Поэтому звонить никуда часто не нужно. И не все провайдеры имеют привязку к MAC.
                  0
                  Угу, в сетевой разъем… Вспоминаем о том, что есть девайсы без оного, начиная с макбук эйр, заканчивая всякими планшетами без встроенного 3G. Да, выход можно найти всегда, но не всегда это: а) удобно (быстро), особенно в сельской местности без 3G/4G, б) в принципе возможно (вспоминаем об ADSL подключении и соответствующих роутерах) в) имеет смысл — погуглите тарифы на спутниковый интернет, стоимость роутера на фоне стоимости трафика просто потеряется…
                    0
                    Вспоминаем, что есть мобильные устройства с мобильным интернетом, внешние роутеры… Вариантов много есть и всё не предусмотреть. Но виндовс несмотря на все проблемы, мак ОС и т.д. все же обновляются несмотря на все возможные проблемы. «Двойной биос» на роутере как вариант для критических случаев. Но изготовители вообще не занимаются этими вопросами. Вообще ни как. Если пользователь сам обновит то проблем может быть не меньше. Более того, иной раз найти прошивку для устройства очень сложно. Она есть на сайте, но совсем под другим именем модели. А под именем этой модели совсем другое устройство. Это безопасней?
                0

                Первые gpon, по крайней мере в нашем регионе, устанавливались с включённым автообновлением. Знаете, что делали пользователи? Выдёргивали вилку во время обновления, а потом звонили в поддержку "что-то интернет отпал, питание передёрнули и теперь линка нет".
                Автообновление на роутерах — плохая идея.

                  +1
                  Можно сделать надёжный механизм обновления: два раздела на флешке, обновляться в неактивный, если не удалось загрузить новый — грузить старый. Или аппаратным вотчдогом сбрасывать в старую прошивку, если новая не взлетела. Всё вполне реализуемо.

                  По-моему, Mirai явно всем показал, что автообновление устройств, которые используют не понимающие принципов их работы пользователи — очень хорошая идея. Я бы даже сделал это для некоторых классов устройств обязательным по закону на весь срок поддержки, причём не менее 5 лет. Сейчас производители делают дырявое ***, продают и дальше хоть трава не расти. А от DDOS и проблем с безопасностью потом страдают все.
              0
              Мой ASUS RT-N66U умеет сам искать и качать обновления, исключая таким образом этап с сайтом производителя. Но чтобы запустить этот процесс, все равно нужно зайти в веб-морду. А после установки апдейта иногда еще и просит перезагрузить роутер вручную.
                0
                зюхели кинетики обновляются. Причем уже года три как, а может и больше. При этом зуйволлы они не обновляют, хотя я уже с ними год не работал так что не скажу.
                  0
                  Круто, это плюс зюкселю.
                  0
                  Ну, вообще-то даже смартфоны спрашивают подтверждение при обновлении прошивки. И это правильно как по сути (ну его нафиг делать такие шутки без моего хотя бы ведома), так и (я полагаю) с точки зрения закона (ибо новая прошивка потенциально может влиять на гарантию/иметь сложности с дополнительными лицензиями/и т. д.)
                  А как сделать это для роутера, если не заходить в веб морду — я не знаю.
                  А если все равно заходить туда с этой целью, то какая разница — это 4 менюшки или всего 2.
                    0
                    А например Windows молча пишет «обновления будут установлены и компьютер будут перезагружен через N часов». Никаких проблем с лицензиями, в EULA всё уже оговорено. Причём, в отличие от смартфона или роутера, там пользователь рискует потерять несохранённую работу.

                    И по сути это правильно, потому что обычный пользователь не имеет никакого представления о безопасности и нуждается в защите, а продвинутый может это отключить и ставить руками. В случае с роутером — то же самое: можно сделать опцию для установки только по требованию, но она должна быть выключена по умолчанию.
                  +2
                  Лёгкий офтоп. Сегодня обнаружил приятный сюрприз: в Godaddy появилась поддержка 2FA не только через SMS, но и через приложение. Причём резервным фактором может быть другое приложение. Большой плюс в том, что можно от небезопасной SMS-аутентификации избавиться. Да и сами по себе SMS-ки ходят не всегда хорошо.

                  Only users with full accounts can post comments. Log in, please.