Эпизод 7: Внимание — вы уязвимы
@BlackMASTpeakerИсследователь безопасности Кайл Ловетт купил новый роутер Asus и нашёл в нём кучу уязвимостей. Он поставил перед собой задачу устранить их не только для своего маршрутизатора, но и для тысяч других, которые также были уязвимы. Узнай, справился ли он.
ВЕДУЩИЙ: Основная работа Кайла — тестирование на проникновение. Ему платят за проверку безопасности компании, чтобы увидеть, есть ли способ, которым хакер может проникнуть в сеть. Но не об этом эта история. Эта история о том, как в 2013 году Кайл купил себе домой новый роутер.
КАЙЛ: Да, это был новый маршрутизатор Asus N66. Совсем не дешевый роутер. Тогда это была одна из самых дорогих моделей стоимостью чуть более 300 долларов.
ВЕДУЩИЙ: Кайл купил роутер, принёс его домой и заметил кое-что странное. К роутеру было подключено слишком много функций по умолчанию.
КАЙЛ: На нем установлен VPN, на нем установлен FTP-сервер, Samba для обмена файлами внутри сети. На нем также работало несколько разных веб-серверов. Я подумал, что это не может быть безопасно. Имя пользователя по умолчанию было admin, а пароль по умолчанию был также admin. Многие владельцы этого устройства, скорее всего, не меняли на нем пароль и оставили admin/admin.
ВЕДУЩИЙ: Далее Кайл обнаружил, что не только может получить доступ к своим личным фотографиям из своего дома через роутер, но и делился всеми своими данными со всем миром, ведь маршрутизатор был в Интернете с общедоступным IP-адресом. Что еще хуже, для доступа к его файлам не требовался пароль. Если бы хакер знал, что у вас есть этот роутер и что вы подключили к нему жесткий диск, этот хакер мог бы увидеть все ваши файлы на жестком диске за тысячи километров.
КАЙЛ: Я буквально мог зайти в свой браузер и просмотреть в браузере IP-адрес HTTPS/smb/tmp/lightep, имя веб-сервера, который я использовал. Когда вы это сделаете, он сбрасывает для вас текстовый файл с именем admin, а затем каким бы ни был их пароль: admin/admin, если пользователь не изменил свой пароль по умолчанию. Это заняло у меня всего двадцать-двадцать пять минут.
Я также смог получить к нему доступ извне с помощью открытого текстового пароля. Потом я позвонил другому другу, который жил довольно далеко, и спросил его, могу ли я попробовать подключиться к его роутеру (у него тоже был Asus N66). И, конечно же, я сразу же смог получить его пароль открытым текстом. Это было немного страшно. И меня действительно беспокоила эта уязвимость.
Я знал, насколько популярен этот маршрутизатор. Я быстро посмотрел в Интернете, чтобы узнать, нашел ли эту уязвимость кто-нибудь еще, но ничего не нашёл.
ВЕДУЩИЙ: Кайлу стало очевидно, что любой, у кого есть этот маршрутизатор, подвергает опасности всю свою домашнюю сеть. Кайл использовал веб-сайт Shodan, чтобы попытаться понять масштаб этой проблемы. Shodan — это веб-сайт, который сканирует весь Интернет, чтобы увидеть, какие IP-адреса активны и какие порты открыты. Он также пытается получить тип системы, работающей на этих IP-адресах. Кайл обнаружил, что не менее 50 000 человек используют уязвимый FTP-сервер.
Когда в программном обеспечении есть ошибки безопасности, а поставщик не знает о проблеме, это называется уязвимостью нулевого дня. Это называется нулевым днем, потому что именно столько дней прошло с тех пор, как поставщик узнал о проблеме. Как только поставщик узнает о проблеме, это больше не нулевой день, и поставщик может работать над выпуском исправления. А теперь поставьте себя на место Кайла. Вы только что обнаружили множество неисправленных ошибок в очень популярном домашнем маршрутизаторе. Эта ошибка позволяет вам получить доступ к частным сетям более чем 100 000 домов по всему миру. Вы можете не только легко войти в домашнюю сеть, но также иметь возможность просматривать все их файлы и использовать их маршрутизатор в качестве прокси. Что бы вы сделали, если бы у вас были такие знания и способности? Вы бы просмотрели все файлы, чтобы увидеть, что у них есть? Вы бы попытались продать эти эксплойты на темном рынке за биткойны? Как бы вы себя чувствовали в такой ситуации?
Для Кайла выбор был легким. Он не попытался просмотреть чужие файлы или использовать эти знания для чего-то злонамеренного. Он просто хотел, чтобы эта ошибка была исправлена, чтобы повысить безопасность для тысяч людей. На самом деле, он тоже был клиентом и хотел, чтобы ошибка была исправлена для его собственного маршрутизатора. Он начал выяснять, как связаться с Asus, создателями этого роутера.
После двух месяцев и трёх писем в Asus, Кайлу наконец ответили. Очень коротко: "Хорошо, мы посмотрим".
Однако, это не удовлетворило Кайла.
КАЙЛ: Я подождал ещё месяц, но они не решили проблему и не признали свою ошибку официально. Тогда я отправил им ещё около 6 писем. В ответ игнор. Я решил рассказать об этом публично. Но тут на моё последнее письмо ответили.
ВЕДУЩИЙ: На этот раз Asus связала Кайла с кем-то из отдела по связям с общественностью, который также является связующим звеном с разработчиками.
КАЙЛ: Мне сказали: «Хорошо, мы посмотрим на это, но всё было так и задумано». Это якобы их фишка. Серьёзно? Я не шучу, они так и ответили. Я решил рассказать об этом всем.
ВЕДУЩИЙ: Прошло ещё 4 месяца. На данный момент все ошибки, обнаруженные Кайлом, были достоянием общественности. Информация об этой уязвимости продолжала распространяться по Интернету. Высока вероятность того, что в это время к каждому FTP-серверу Asus обращались несколько незнакомцев. Вероятно, они просматривали файлы и брали все, что казалось интересным, и даже загружали файлы в качестве заначки. Неизвестная группа людей попыталась взять дело в свои руки. Они искали все уязвимые маршрутизаторы Asus и нашли чуть более десяти тысяч IP-адресов, на которых работал анонимный FTP-сервер. Они получили доступ к каждому из этих маршрутизаторов и оставили записку: «Внимание. Вы уязвимы. Это автоматическое сообщение, отправленное всем, кого это затронуло. Ваш маршрутизатор Asus и ваши файлы могут быть доступны любому человеку в мире, имеющему подключение к Интернету. Решение: немедленно полностью отключите FTP и AI Cloud». Записка была подписана /G. Это может означать, что хакеры пришли из 4Chan, которая использует /G в качестве своего имени. В заметке этот инцидент также называется ASUSGATE.
Давайте попробуем понять, что значит быть жертвой этого. Представьте, что вы засыпаете ночью в своей красивой, уютной, безопасной, теплой постели и спокойно спите всю ночь. Вы просыпаетесь, идете в ванную, и когда вы смотрите в зеркало, на нем приклеена записка, в которой говорится, что дверь в вашем доме была открыта в течение восьми месяцев, и любой мог войти. Хакеры не использовали никаких специальных инструментов, ни обходных путей, ни взломов, ни уловок для доступа к файлам. Они использовали стандартный FTP-клиент, и для того, что они делали, не требовался пароль. Поскольку Asus сказал, что это функция, а не ошибка безопасности, то еще более вероятно, что это действие не было преступным.
КАЙЛ: Это вернуло Asus в нужное русло, но Asus связались со мной, как будто это сделал я. Но я этого не делал. Это сделала какая-то другая группа хакеров. У них были благие намерения. Они просто сбрасывали текстовый файл на FTP.
ВЕДУЩИЙ: Новости о хакерах, загружающих заметки на маршрутизаторы людей, попали в крупные новостные сети. На самом деле Кайл даже дал интервью CNN, чтобы объяснить ситуацию. Он нервничал из-за интервью и был впечатлен тем, насколько известной стала новость.
В конце концов Asus исправили все ошибки, о которых сообщил Кайл, но после этого Кайл нашел еще больше ошибок в их исправленных версиях и тоже сообщил о них. В конце концов Asus решили и эти проблемы. Несколько лет спустя, Федеральная торговая комиссия США возбудила дело против Asus. Они утвердили следующие приказы, которым Asus должны подчиняться:
- Не вводить своих клиентов в заблуждение относительно недостатков безопасности.
- Четко уведомлять своих клиентов публично, когда доступно обновление для системы безопасности.
- Проводить проверки безопасности своих продуктов. Это включает в себя тестирование на проникновение, обучение сотрудников, проверку кода, оценку рисков и многое другое. Аудиты безопасности должны быть представлены в ФТК.
Если Asus не выполнит какое-либо из этих распоряжений, они будут оштрафованы на 16 000 долларов за каждое нарушение. Самая суровая часть распоряжений ФТК заключается в том, что Asus должны выполнять эти приказы регулярно вплоть до 2036 года.
Тысячи людей все еще остаются уязвимыми, потому что они просто не исправили свой маршрутизатор. Доступно исправление, но они либо не знают об этом, либо не хотят его исправлять. Если у вас есть маршрутизатор Asus, рекомендуется поддерживать его в актуальном состоянии и исправлять. Теперь у исследователей безопасности есть новые методы работы с поставщиками для решения этих проблем. Некоторые компании предлагают вознаграждение за обнаруженные ошибки безопасности. Эти награды обещают, что исследователи заработают тысячи долларов, обнаружив одну уязвимость. Для справки, Кайл никогда не просил награды за вознаграждение и не предлагал никакой награды за свои открытия в маршрутизаторах Asus. В Министерстве внутренней безопасности есть филиал под названием Группа готовности к компьютерным чрезвычайным ситуациям США, или US-Cert.
ВЕДУЩИЙ: Мне любопытно, Кайл, какой домашний маршрутизатор ты используешь сегодня?
КАЙЛ: О, прямо сейчас у меня есть Xfinity — на самом деле у них две модели. Один для потоковой передачи 100 МБ, а другой для потоковой передачи обычного размера, в котором я действительно обнаружил уязвимость, потому что реальная прошивка этого и само оборудование маршрутизатора на самом деле сделаны Cisco, о которой я сообщил три нулевых дня.
ВЕДУЩИЙ: Похоже, куда бы Кайл ни посмотрел, он находит ошибки в этих домашних маршрутизаторах и даже в маршрутизаторах бизнес-класса.
КАЙЛ: Я думаю, что им еще предстоит пройти долгий путь, и я все еще думаю, что большинство поставщиков думают о безопасности задним числом. Пока этот менталитет не изменится и пока они действительно не задумаются о том, чтобы найти хорошего пен-тестера для тестирования своего продукта, мы все равно будем сталкиваться с нарушениями безопасности.