Security Week 05: принтеры, камеры, 7zip и вопросы этики

    В конце ноября 2018 года офисные и домашние принтеры по всему миру распечатали сообщение, призывающее подписываться на ютубера PewDiePie. Произошло, это, естественно, без ведома владельцев принтеров, и скорее всего сам PewDiePie тут ни при чем. Взломщик, называющий себя TheHackerGiraffe, атаковал более 50 тысяч принтеров, настроенных так, что их службы печати (Internet Printing Protocol и Line Printer Daemon) были доступны из Интернета. Список уязвимых принтеров был собран с помощью специализированного поисковика Shodan.io, остальное было делом техники.

    Атакой на принтеры история не закончилась: позднее были взломаны смарт-телевизоры, а недавно — веб-камеры Nest, с похожими ссылками на PewDiePie. Эта в целом бессмысленная затея привела к появлению уже чисто криминального сервиса по «принтерному партизанскому маркетингу». Поговорим об этих инцидентах подробнее, а заодно обсудим различия между нормальными исследователями по безопасности и такими вот IoT-вандалами.

    Сообщение, распечатанное на десятках тысяч принтеров по всему миру, выглядело примерно так:


    Ответственный за взлом «хакер Жираф» в своем твиттере охотно делился деталями атаки (позже все сообщения были удалены). Список IP уязвимых принтеров он загрузил с Shodan в пятидолларовый облачный сервер, где использовал комбинацию опенсорсного ПО для отправки на печать PDF и вывода сообщения о взломе на экран принтера. Буквально через неделю после данного перфоманса исследователи из компании GreyNoise перехватили еще один документ, запрос на печать которого массового рассылался с единственного IP, вот такой:


    В документе предлагались услуги «партизанского маркетинга» — аналог объявлений на асфальте, только, так сказать, в цифровом пространстве. Подобные события на самом деле происходят нечасто. Можно сравнить принтерный инцидент с безопасностью роутеров — в их случае взлом устройства обычно не афишируется, просто по-тихому извлекается прибыль. Интересно, что тот самый «Жираф» объяснялся с публикой терминами честных исследователей по безопасности — типа он так «информирует общественность» о рисках неправильно настроенных устройств. Общественность, конечно, была проинформирована, но в идеальном мире путь к улучшению безопасности лежит через работу с производителями принтеров и их установщиками — как минимум стоит разобраться, почему выходит так, что локальный сервис печати смотрит в Сеть.

    Инциденты с упоминанием одиозного видеоблогера PewDiePie продолжились и в этом году. В середине января с похожими сообщениями, призывающими подписываться на ютубера, была атакована многопользовательская игра Atlas. А на прошлой неделе издание Motherboard опубликовало видео взлома сетевых видеокамер Nest. Уязвимости в инфраструктуре Nest не использовались. Вместо этого был применен метод credential stuffing — попытка подбора пароля к личному кабинету на основе утекших баз данных. Если вам интересно, как именно будут использовать ваш пароль из очередной утечки, — то, например, вот так. Это не масштабная атака, но хакеру удалось взломать около 300 учетных записей. Доступ в личный кабинет Nest дает возможность контролировать домашние IoT-устройства, причем можно не только перехватывать видеопоток с камер, но и общаться через них с владельцами. Звуковые сообщения призывали подписываться на… Ну, вы поняли.


    Наконец, сразу после Нового года тот же «Жираф-хакер» сканировал сеть с целью поиска незащищенных устройств, поддерживающих протокол Chromecast, приставок к телевизору или самих умных ТВ. Всего было найдено несколько десятков тысяч устройств, на которые передавалась команда на воспроизведение видеоролика, призывающего все к тому же. Выводов из этих историй есть два. Во-первых, желательно не пускать IoT за пределы локальной сети. Это так себе совет, так как решение о подключении к внешним серверам за вас обычно принимает производитель умного устройства. Во-вторых, подобный хакерский акционизм может использоваться для уничтожения репутации людей или компаний. У PewDiePie репутация и так сомнительная, но дело не в этом: после бессмысленных акций ради пиара вновь открытые методы берет на вооружение криминал. Особенно такие простые.


    Наконец, вот вам еще один тред из Твитера. Исследователь решил посмотреть код опенсорсного архиватора 7-zip, отвечающий за создание защищенных архивов. Такие архивы можно открыть только с помощью паролей, а содержимое шифруется с использованием алгоритма AES. В крайне эмоциональных выражениях исследователь сообщает следующее: реализация алгоритма шифрования далека от идеальной, используется ненадежный генератор случайных чисел. Кроме того, ставится под сомнение надежность открытого ПО в целом — ведь некорректный алгоритм был у всех на виду. Обсуждаются качества разработчиков, которые говорят о параноидальных «бэкдорах» в системе шифрования, вместо того чтобы допиливать собственный код до минимальных стандартов.

    Но, в отличие от всех предыдущих историй, эта, кажется, закончится хорошо: тот же исследователь сообщил о баге разработчикам и помогает им исправить ситуацию (которая на самом деле не такая уж и плохая). Говоря об этике в сфере инфобезопасности, нужно не забывать, что люди бывают разные, и реагируют на те или иные проблемы в защите софта и устройств они по-разному, в том числе и вот так — слегка несдержанно. Этический хакинг — это прежде всего желание помочь исправить баг или уязвимость. А вот использование уязвимостей для организации клоунады за счет ничего не подозревающих жертв — это не ок.

    Disclaimer: Мнения, изложенные в этом дайджесте, могут не всегда совпадать с официальной позицией «Лаборатории Касперского». Дорогая редакция вообще рекомендует относиться к любым мнениям со здоровым скептицизмом.
    • +24
    • 5,8k
    • 7
    «Лаборатория Касперского»
    431,00
    Ловим вирусы, исследуем угрозы, спасаем мир
    Поделиться публикацией

    Похожие публикации

    Комментарии 7

      +6
      С точки зрения пользователя меня в 7-Zip больше смущает то, что его автор до сих пор не озаботился подписью дистрибутива и файлов программы. Давно вошло в привычку первым делом проверять подпись у загруженных программ, векторов атаки на которых — море, это mitm, dns или провайдер, взлом сайта, ошибки передачи и т. д. Даже гугл первым делом показывает не настоящий сайт с устаревшими версиями. Архиватор №1 практически без недостатков, а вот такой косячок не исправляется годами.
        0
        Архиватор №1 практически без недостатков

        Это в каком месте он номер 1?
        В линуховых дистрах и маке по дефолту не стоит. В винде часто сталкивался с проблемами.
          0

          А какие именно проблемы были? Можно подробности?

            0
            Дело было 2 года назад. Распаковал архив. Один из файлов оказался битым. Т.е. распаковка прошла успешно, и размер файла соответствовал оригинальному, но файл был поврежден. Через WinRar все прошло гладко.
            Второй раз были проблемы с привилегиями на распакованные файлы. Конечно же, создавался архив в Lin, распаковывался на Win.
              +1
              Это, часом, никак не связано с той самой проблемой задействования алгоритмом паковки/распаковки больших страниц памяти (ОЗУ), связанными с косяками именно в Windows? (которую обнаружил и исследовал автор архиватора и о чём упомянул на сайте и рекомендовал случаи, когда эту опцию в архиваторе просто оставить неактивной)
          0
          А что, уже можно подписать бесплатно?
          0
          Лично у меня возникали проблемы в единственном случае: когда на 32-битной системе (с 3+ RAM. видимо это важно) открывался .iso DVD или подобный большой архив. Ну, бывает такая необходимость. Просто исключил для себя такоё кейс и живу спокойно.

          Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

          Самое читаемое