Главная » Хабрахабр » Security Week 05: принтеры, камеры, 7zip и вопросы этики

Security Week 05: принтеры, камеры, 7zip и вопросы этики

В конце ноября 2018 года офисные и домашние принтеры по всему миру распечатали сообщение, призывающее подписываться на ютубера PewDiePie. Произошло, это, естественно, без ведома владельцев принтеров, и скорее всего сам PewDiePie тут ни при чем. Взломщик, называющий себя TheHackerGiraffe, атаковал более 50 тысяч принтеров, настроенных так, что их службы печати (Internet Printing Protocol и Line Printer Daemon) были доступны из Интернета. Список уязвимых принтеров был собран с помощью специализированного поисковика Shodan.io, остальное было делом техники.

Эта в целом бессмысленная затея привела к появлению уже чисто криминального сервиса по «принтерному партизанскому маркетингу». Атакой на принтеры история не закончилась: позднее были взломаны смарт-телевизоры, а недавно — веб-камеры Nest, с похожими ссылками на PewDiePie. Поговорим об этих инцидентах подробнее, а заодно обсудим различия между нормальными исследователями по безопасности и такими вот IoT-вандалами.
Сообщение, распечатанное на десятках тысяч принтеров по всему миру, выглядело примерно так:

Ответственный за взлом «хакер Жираф» в своем твиттере охотно делился деталями атаки (позже все сообщения были удалены). Список IP уязвимых принтеров он загрузил с Shodan в пятидолларовый облачный сервер, где использовал комбинацию опенсорсного ПО для отправки на печать PDF и вывода сообщения о взломе на экран принтера. Буквально через неделю после данного перфоманса исследователи из компании GreyNoise перехватили еще один документ, запрос на печать которого массового рассылался с единственного IP, вот такой:

В документе предлагались услуги «партизанского маркетинга» — аналог объявлений на асфальте, только, так сказать, в цифровом пространстве. Подобные события на самом деле происходят нечасто. Можно сравнить принтерный инцидент с безопасностью роутеров — в их случае взлом устройства обычно не афишируется, просто по-тихому извлекается прибыль. Интересно, что тот самый «Жираф» объяснялся с публикой терминами честных исследователей по безопасности — типа он так «информирует общественность» о рисках неправильно настроенных устройств. Общественность, конечно, была проинформирована, но в идеальном мире путь к улучшению безопасности лежит через работу с производителями принтеров и их установщиками — как минимум стоит разобраться, почему выходит так, что локальный сервис печати смотрит в Сеть.

В середине января с похожими сообщениями, призывающими подписываться на ютубера, была атакована многопользовательская игра Atlas. Инциденты с упоминанием одиозного видеоблогера PewDiePie продолжились и в этом году. Уязвимости в инфраструктуре Nest не использовались. А на прошлой неделе издание Motherboard опубликовало видео взлома сетевых видеокамер Nest. Если вам интересно, как именно будут использовать ваш пароль из очередной утечки, — то, например, вот так. Вместо этого был применен метод credential stuffing — попытка подбора пароля к личному кабинету на основе утекших баз данных. Доступ в личный кабинет Nest дает возможность контролировать домашние IoT-устройства, причем можно не только перехватывать видеопоток с камер, но и общаться через них с владельцами. Это не масштабная атака, но хакеру удалось взломать около 300 учетных записей. Звуковые сообщения призывали подписываться на… Ну, вы поняли.

Наконец, сразу после Нового года тот же «Жираф-хакер» сканировал сеть с целью поиска незащищенных устройств, поддерживающих протокол Chromecast, приставок к телевизору или самих умных ТВ. Всего было найдено несколько десятков тысяч устройств, на которые передавалась команда на воспроизведение видеоролика, призывающего все к тому же. Выводов из этих историй есть два. Во-первых, желательно не пускать IoT за пределы локальной сети. Это так себе совет, так как решение о подключении к внешним серверам за вас обычно принимает производитель умного устройства. Во-вторых, подобный хакерский акционизм может использоваться для уничтожения репутации людей или компаний. У PewDiePie репутация и так сомнительная, но дело не в этом: после бессмысленных акций ради пиара вновь открытые методы берет на вооружение криминал. Особенно такие простые.

Наконец, вот вам еще один тред из Твитера. Исследователь решил посмотреть код опенсорсного архиватора 7-zip, отвечающий за создание защищенных архивов. Такие архивы можно открыть только с помощью паролей, а содержимое шифруется с использованием алгоритма AES. В крайне эмоциональных выражениях исследователь сообщает следующее: реализация алгоритма шифрования далека от идеальной, используется ненадежный генератор случайных чисел. Кроме того, ставится под сомнение надежность открытого ПО в целом — ведь некорректный алгоритм был у всех на виду. Обсуждаются качества разработчиков, которые говорят о параноидальных «бэкдорах» в системе шифрования, вместо того чтобы допиливать собственный код до минимальных стандартов.

Говоря об этике в сфере инфобезопасности, нужно не забывать, что люди бывают разные, и реагируют на те или иные проблемы в защите софта и устройств они по-разному, в том числе и вот так — слегка несдержанно. Но, в отличие от всех предыдущих историй, эта, кажется, закончится хорошо: тот же исследователь сообщил о баге разработчикам и помогает им исправить ситуацию (которая на самом деле не такая уж и плохая). А вот использование уязвимостей для организации клоунады за счет ничего не подозревающих жертв — это не ок. Этический хакинг — это прежде всего желание помочь исправить баг или уязвимость.

Дорогая редакция вообще рекомендует относиться к любым мнениям со здоровым скептицизмом. Disclaimer: Мнения, изложенные в этом дайджесте, могут не всегда совпадать с официальной позицией «Лаборатории Касперского».


Оставить комментарий

Ваш email нигде не будет показан
Обязательные для заполнения поля помечены *

*

x

Ещё Hi-Tech Интересное!

Дата-центры на выбор: Лондон, Москва, Цюрих, Санкт-Петербург

Отчасти санкции, отчасти рост технологического бизнеса, отчасти рост дохода этого самого бизнеса сформировали в России условия для развития коммерческих ЦОД. Если раньше можно было горько усмехнуться над SLA, ждать пока встанет интернет-магазин на лежащем сервере, фактически доверять провайдеру «в тёмную», ...

Подборка: 4 полезных сервиса для потенциальных иммигрантов в США, Европу и другие страны

Я решил собрать в одном месте список онлайн-сервисов, которые будут полезны тем, кто всерьез задумался об иммиграции. Тема переезда в Европу, США или другие приятные регионы мира довольно часто поднимается на Хабре. Для статьи я отобрал четыре проекта. На удивление, ...