21 Августа, 2018

Security Week 30: пять абзацев про Black Hat

Лаборатория Касперского
 
Black Hat — это конференция по информационной безопасности, исполненная в традиционном для индустрии жанре «вопросы без ответов». Каждый год в Лас-Вегасе специалисты собираются, чтобы поделиться своими последними достижениями, которые вызывают у производителей «железа» и разработчиков софта бессонницу и тремор рук. И не то чтобы это было плохо. Наоборот, оттачивать исскусство поиска проблем, будучи при этом на «светлой стороне», — это прекрасно!

Но все же есть на Black Hat некий внутренний конфликт. Нельзя же бесконечно твердить, что «с безопасностью все плохо, плохо, плохо», не предлагая ничего взамен. А стоит начать говорить о решениях — начинаются жалобы: и конференция уже не та, и скучно, и корпорации все скупили на корню. Решения — это и правда скучно, там и культуру написания кода надо применять, и организационные меры вводить, и тому подобное. А проблемы — это весело* и эффектно*! Сегодня — рассказ о веселых* и эффектных* проблемах с конференции Black Hat.

* На самом деле — сложно и грустно. Надеюсь, вы понимаете.

a2a902c910035b84bee4903ab7e593d5.png
Пожалуй, самая задорная исследовательская работа на Black Hat 2018 была представлена Кристофером Домасом, который откопал в старых процессорах VIA C3 полноценный аппаратный бэкдор. Самые «свежие» процессоры этой серии были выпущены в 2003 году, что явно пошло на пользу исследованию: раскрыть информацию о бэкдоре в актуальном «железе» было бы… кхм… затруднительно по многим причинам. А так на Гитхабе у Домаса есть и подробное описание, и Proof of Concept, и даже утилита для закрытия бэкдора. Речь идет об отдельном вычислительном модуле, встроенном в центральный процессор, но использующем архитектуру, отличную от x86. Если передать ему особое магическое заклинание, бэкдор позволяет выполнять код с максимальными привилегиями (ring 0), даже если изначально вы находитесь на пользовательском уровне ring 3 и таких прав не имеете. Бэкдор отключаемый, но автору исследования удалось найти несколько систем, где он был активирован по умолчанию.

Эту презентацию желательно (когда выложат) посмотреть на видео, а именно, вас может заинтересовать звуковая дорожка. Исследователи Джон Сеймур и Азим Акиль из компании Salesforce усомнились в надежности идентификации человека по голосу. Точнее, они решили исследовать, насколько просто подделать голос. Оказалось, что достаточно просто . Не то чтобы голос планируется сделать основным средством идентификации, но уже сейчас сервисы типа Amazon Alexa и Siri учатся отличать одного человека от другого. А еще есть, например, интерфейс API Microsoft Speaker Recognition , который исследователям удалось успешно обмануть, имея в наличии запись голоса жертвы и алгоритмы машинного обучения. Изначально для успешного воссоздания голоса им потребовалось чуть ли не 24 часа записей чужого голоса. Но так как взаимодействие с системой идентификации достаточно короткое и на той стороне тоже алгоритм, а не живой человек, в итоге успешный обман оказался возможен, если имеется голосовой сэмпл длиной всего 10 минут. Итоговый результат звучит ужасно, но систему идентификации успешно обходит.

На Black Hat 2018 показали сразу две потенциальные атаки типа supply chain. (Это когда устройство отправляется от вендора целым, а к клиенту приезжает уже зараженным.) Исследователи из компаний Fleetsmith и Dropbox нашли проблему в системе управления мобильными устройствами Apple. Такая система используется крупными компаниями для автоматической настройки ноутбуков или смартфонов, чтобы установить необходимый софт, изменить стартовую страницу браузера и так далее. При первом подключении к сети WiFi происходит ряд проверок как на стороне Apple, так и на стороне провайдера услуг по централизованному управлению устройствами. В процессе этих переговоров на ноутбук прилетает список софта для загрузки. И вот оказалось, что его подлинность не проверяется. Стало быть, появляется возможность притвориться компанией-подрядчиком и подкинуть жертве подготовленный ноутбук. Точнее, уже не появляется: уязвимость закрыли. Не закрыта пока другая уязвимость, найденная фирмой Eclypsium в UEFI устройств компании Asus. Классическая проблема: в саму прошивку встроена система автоматического обновления, запрашивающая данные по незащищенному протоколу HTTP. Соответственно, «ответить» на такой запрос может кто угодно и чем угодно.

В этом году на Black Hat много говорили о том, что для улучшения ситуации с безопасностью разработчики должны мыслить немножко как хакеры. Это довольно спорное утверждение. Но была одна интересная презентация, которая никаких особых покровов не срывает, но показывает, как этот самый хакер себя мотивирует и чего он может добиться своими хакерскими методами. В роли эталонного хакера выступал исследователь Гийом Валадон. Года три назад у него была простая фоторамка, которая показывала фото с SD-карточки. И был недорогой WiFi-адаптер Toshiba FlashAir, тоже в формате SD, плюс желание совместить одно с другим. Презентация представляет собой рассказ о путешествии из точки «я не знаю об этом устройстве вообще ничего» до «через уязвимости в сетевом стеке я подменил прошивку WiFi-адаптера на свою собственную, которая скачивает картинки из сети и подсовывает их фоторамке». Этот pet project занял у Гийома три года и включал такие итерации, как визуальная идентификация чипов в WiFi-модуле, гугление по уникальным строкам, которые модуль пишет в лог, анализ отвратительно задокументированной ОС реального времени и другие «веселые развлечения». Если говорить шершавым языком новостного материала, исследователь «нашел в адаптере беспроводной сети ряд критических уязвимостей». А на самом деле эта история про здоровый энтузиазм (и немного про упоротость).

Никак нельзя было обойтись без самой модной темы года — атак по сторонним каналам. В предыдущей серии мы с вами изучали, как можно реализовать вариант атаки Spectre по сети. На Black Hat показали , как можно украсть ключ шифрования данных на расстоянии 10 метров от работающего устройства. В отличие от Spectre это классическая атака по стороннему каналу, когда происходит утечка полезной информации там, где этого никто не ожидает. Исследователи из компании Eurecom обнаружили, что «шум» от работы электроники может проникать в радиоканал. Они смогли провести успешную атаку на Bluetooth-адаптер, и вообще эта история — про устройства, в которых присутствует какое-то радио (то есть про очень много устройств). Ключевой момент исследования заключается именно в расстоянии: обычно атаки на «железо» требуют непосредственного доступа к устройству. Ну в крайнем случае что-то можно предпринять в метре от него с во-о-о-от такой вот антенной. А тут целых десять. И как же с этим бороться? Способы есть: лучше изолировать вычислительную часть от радиопередатчика, возводить «шумовую завесу» в софте. Если говорить человеческим языком: нужно делать устройства еще сложнее и еще дороже. Не факт, что это получится, ну так Black Hat, повторюсь, — это конференция не про решения.

Disclaimer: Мнения, изложенные в этом дайджесте, могут не всегда совпадать с официальной позицией «Лаборатории Касперского». Дорогая редакция вообще рекомендует относиться к любым мнениям со здоровым скептицизмом.