Security Week 09: Тяжесть уязвимости Cloudflare, приватность IoT-медвежат

0ca4dfabf7fd45518508f9a32d977ae1.jpgДень у директора отделения банка «Прорыв» Ивана Петровича Хататапасова не задался. Накануне прислали мутную и многоообещающую бумагу из центра о внедрении каких-то новых практик и метрик. С утра во двор банка заехал грузовик и прямо на землю выгрузил бесформенную кучу денег. По телефону Ивану Петровичу объясинили, что в рамках оптимизиции региональной сети небольшая часть средств будет временно храниться в данном отделении, за что Иван Петрович может получить комиссию: «Ну возьмите там ведро денег. Нет, расписок не нужно, но только одно ведро».

Просидев всю ночь с берданкой на куче бабла, Иван Петрович запротестовал, но ему дали понять, что это новая прогрессивная эджайл методика банкинга, инкорпорированная на основе лучших образцов мировых кейс стади, и нечего тут вообще возникать. Куча осталась без присмотра: ее удачно присыпало снегом, и в общем с улицы было не так заметно, хотя попытки пересчитать деньги все время давали разную сумму: непонятные молодые люди на грузовичках периодически что-то отвозили и привозили, считая на глазок.

То есть, кхм, о чем это я. Приведенный выше абсурд в контексте хранения персональных данных в сети регулярно превращается в суровую реальность: то у Yahoo! миллиарды! паролей! украдут!, то у Cloudflare в результате ошибки (новость) важные данные распылит тонким слоем по сайтам клиентов и гуглу. Сегодняшний выпуск — про приватность. И правильную оценку рисков.

Что произошло у Cloudflare?
Все началось с этого твита:

Could someone from cloudflare security urgently contact me.

— Tavis Ormandy (@taviso) February 18, 2017

Исследователь из команды Google Project Zero Тавис Орманди (про него я уже писал ранее) нашел в инфраструктуре компании Cloudflare, предоставляющей услуги доставки контента, защиты от DDoS-атак и прочие, серьезную уязвимость. Описать ее простыми словами сложно, разве что только такими: «роботы сломались». Различные сервисы Cloudflare основаны на едином принципе: между сайтом и посетителем строится прослойка, через прокси передаются данные, в результате чего появляется возможность балансировать нагрузку, отсекать мусорный DDoS-трафик и так далее.

Именно с прокси-инфраструктурой, которая по сути общая для всех клиентов, и произошла проблема. Помимо передачи веб-страниц по пути от сервера к клиенту могла происходить их модификация: вставлялся код для аналитики, обфусцировались e-mail адреса и подобное. Процесс, управлявший модификацией на стороне прокси, имел в себе баг, который вставлял в код некий мусор. Как выяснил Тавис Орманди, это был вовсе не мусор, а куски данных из оперативной памяти прокси-сервера, содержащие, в том числе, приватные данные. Куки, токены авторизации и прочую весьма ценную информацию. Выданные веб-страницы в итоге индексировались поисковыми роботами.

Должен сказать, что расследование данной уязвимости прошло практически эталонным образом. Уязвимость была закрыта путем отключения некритичных сервисов на стороне Cloudflare в течение 24 часов. Одновременно прошла серьезная работа с поисковыми системами (в первую очередь в Google, но не только) по удалению проиндексированной приватной информации. Отчеты о характере проблемы — подробнейшие, с примерами кода. Больше информации — в блогпосте Cloudflare и в багрепорте Тависа.

Сложнее ответить на вопрос: Кто пострадал и что теперь с этим делать? Постараюсь, в силу своих возможностей, осветить и эту тему, но сначала расскажу про умных, но уязвимых плюшевых мишек.

Мишек, Карл!

Зафиксирована утечка более двух миллионов голосовых сообщений умным детским игрушкам
Новость. Блогпост исследователя Троя Ханта.

Есть такая компания Cloudpets. Производит детские игрушки с расширенной функциональностью. С помощью беспроводного сетевого соединения в мишку (или зайку, whatever) можно удаленно доставлять голосовые сообщения. Пользователь мишки (ой всё) видит получение нового сообщения в виде мигающего сердечка, и может проиграть его, произведя с устройством сеанс обнимашек (аааааа!).

f221001f790e4ba8970905a23f831f22.jpg

ААААААААААААА!
Нет, а что. Дивный новый мир. Все бы ничего, но база данных пользователей, включая личные данные и записанные голосовые сообщения, была размещена на из рук вон плохо защищенном сервере. Для хранения данных использовалась СУБД MongoDB, из-за кривых настроек доступная из интернета без авторизации. Незащищенные СУБД все чаще становятся жертвой взломщиков и вымогателей — я об этом писал в начале года.

В процессе раскрытия информации об уязвимости вендору все пошло не так. Проблема была обнаружена сразу двумя исследователями независимо друг от друга. Их сообщения производителю были проигнорированы. Как-то заставить вендора прореагировать смог только исследователь Трой Хант, когда сообщил о проблеме в своем блоге. В ответ компания Cloudpets сообщила, что (а) данные действительно были доступны, но получить информацию можно только зная пароль конкретного пользователя и (б) хранение и управление базой данных осуществляла сторонняя организация, ответственность за действия которой вендор нести не может.

@lorenzoFB email Spiral Toys sent me on data breach. Contains typos pic.twitter.com/IHugEwzhTB

— Michael Kan (@Michael_Kan) February 28, 2017

Серьезно, так и сказали. Объяснили и отсутствие ответа на первоначальные сообщения: «Мы не можем принимать такую серьезную информацию, когда ее присылает непонятно кто».

Да ладно! Про пароли: понятно, что требования к ним у такого сервиса самые минимальные, и подобрать многие из них довольно легко (всего пострадали более 800 тысяч пользователей, если считать по учетным записям). Проблема даже не в утечке персональных данных (БД была открыта в течение долгого времени и скачать ее мог кто угодно), проблема была в не самой адекватной реакции вендора. Ну и заметка на будущее: даже если в утечке виноват подрядчик, ущерб все равно будет у заказчика. Увы.

Что делать?

Так вот, про оценку рисков. В случае с плюшевыми мишками пострадали только конечные пользователи, большинство из них, к сожалению, даже не узнают о проблеме. Потенциальные жертвы Cloudflare — средние и крупные компании. Так получается, что бизнесу приходится тратить значительные средства на развитие собственной экспертизы, в том числе и для того, чтобы правильно оценить риски очередной угрозы.

Если где-то в интернете что-то произошло, нужно понять, как это влияет на риски твоего бизнеса. На примере Cloudflare понятно, что полярные варианты: «нас это не касается» и «ааа, все пропало, мы все умрем» одинаково плохи. Такие оценки с плеча — скорее удел СМИ и еженедельных дайджестов. Единственный адекватный анализ проблемы с этой точки зрения опубликован здесь, и то, на мой взгляд, он слишком алармистский. Учитывая то, что сервис Cloudflare приводил к рандомной утечке каких-угодно данных, находящихся в момент срабатывания бага в памяти сервера, можно утверждать, что все клиенты этой компании находятся в зоне риска. Кто именно — узнать невозможно, информация у поисковиков потерта. Никто при этом не исключает наличие утечек на стороне неофициальных роботов-сборщиков, которые не работают не на поиск, а вообще с не очень понятными целями. Шансы на то, что у плохих парней данные есть — имеются, но проверить это невозможно.

И что теперь? Сбрасывать всем пользователям пароли? Отзывать токены авторизации? Общий вывод, наверное, такой: не надо делать резких движений, но надо исходить из того, что вероятность утечки отлична от нуля, знать возможные параметры этой утечки и быть готовым к тому, что данные могут быть использованы для атаки. История Cloudflare — она не про реальную беду, она скорее про то, как информационная безопасность больше не ограничивается судорожным латанием свежих дыр. Это тактика, а нужна еще стратегия. Требуется выстраивать защиту исходя из того, что твои данные свалены где-то в куче на каком-то заднем дворе.

С мишками проще. Покупая такую игрушку ребенку нужно понимать, что ваши сообщения уже сейчас слышит кто-то другой. Это не паранойя, это реальность. Недостаточно сделать красивую и умную игрушку, требуется предоставить хоть какие-то доказательства, что вы, как вендор, подумали и о безопасности чужих данных.

Слегка офигевая от происходящего, редакция еженедельного дайджеста отправляется в небольшой отпуск. Не переключайтесь, мы вернемся.

1a3d8477c94641beaa19694292d10b54.png

Древности


«Socha-753»

Резидентный очень опасный вирус, стандартно поражает .COM-файлы при их открытии. При запуске файлов (кроме ME$.OVL и NCMAIN.EXE) к файлу C:\M_EDIT\ME$.OVL дописывается командная строка. Размножается, если системный таймер указывает 1981 г. Перехватывает int 21h, содержит строки: «Socha», «C:\m_edit\me$.ovl», «comCOM».

Цитата по книге «Компьютерные вирусы в MS-DOS» Евгения Касперского. 1992 год. Страницa 83.

Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.

Комментарии (0)

© Habrahabr.ru