Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Charlie Foxtrot Tango SSHnowDowN
Kto śledzi treści publikowane na sekuraku, ten wie, że Internet of Things (IoT) jest tak skromnie zabezpieczony, iż większość tych urządzeń, może posłużyć jako węzły w botnetach wykonujących ataki DDoS. Niestety, to nie pełny zasób możliwości, jaki niosą ze sobą te urządzenia. Nowe badanie przeprowadzone przez Akamai Threat Research udowadnia, że brak bieżących aktualizacji oprogramowania, spowodowało podatność około dwóch milionów różnego rodzaju urządzeń (SAN, CCTV, NVR, DVR, routerów Wi-Fi, ADSL, itd.) na – nienowy, bo dwunastoletni – błąd w usłudze OpenSSH. Wobec tego, do żartobliwej nazwy „Internet of Threats”, często dodaje się określenie „Internet of Unpatchable Things.
Wspomniany błąd, to CVE-2004-1653 – a dokładniej – luka w standardowej konfiguracji, odkryta w 2004 roku (naprawiona na początku 2005), polegająca na pozostawieniu włączonej opcji AllowTcpForwarding w pliku /etc/ssh/sshd_config. Opcja ta pozwala uwierzytelnionym użytkownikom (nie jest to problemem przy znajomości standardowych loginów i haseł różnych urządzeń) i nie tylko, na przekazywanie połączeń, a tym samym, na wykorzystanie takiego urządzenia jako proxy do kolejnych ataków na inny sprzęt i serwery. Dotyczy to także sieci wewnętrznych, do których jest podłączone podatne „pudełko” – razem z możliwością dostępu do webowego panelu administracyjnego urządzenia. Dlatego, jeśli posiadamy IoT w naszym otoczeniu sieciowym, upewnijmy się, że:
-
zostały zmienione standardowe dane dostępowe do takiego urządzenia,
-
wszystkie usługi, pozwalające na zdalne logowanie się do urządzenia, lub – co najmniej – ograniczone dostępem do zaufanych adresów IP, zostały wyłączone,
-
opcje przekazywania portów i połączeń są wyłączone,
-
nasze urządzenie nie posiada ukrytych furtek,
o których oficjalnie nie poinformował nas producent.
Jeśli mamy pomysł, jak w niekonwencjonalny sposób wykrywać tego rodzaju urządzenia, które mogą stanowić zagrożenie dla sieci, MITRE oferuje nagrodę w wysokości 50 000 USD, wraz z innymi korzyściami.
–pki
Dziwne, ze żaden badacz nie wykorzystał wycieknieywgo kodu do napisania softu, który te urządzenia zabezpiecza albo wręcz brickuje.
„brak bieżących aktualizacji oprogramowania, spowodowało podatność około dwóch milionów różnego rodzaju urządzeń”
Bzdura. Brak bieżących aktualizacji nie ma w tym przypadku nic do rzeczy, winny jest kijowy design tego typu urządzeń, a wręcz złe podejście do tematu security przez producentów.
@Tomasz – możesz rozwinąć swoją myśl ?
To proste – ma być jak w polskich przetargach (gdzie 90% kryterium to cena), czyli TANIOOOOO…
Rozwijam: domyślnie włączony TCP forwarding w OpenSSH jest od 12 lat, a różne typy ataków opartych o SSH są znane od grubo ponad 20 lat.
Tymczasem takie urządzenia nie mają przecież po 40 lat, a raptem po kilka. Więc już w momencie ich tworzenia te ataki były znane. Kwestia aktualizacji nie ma tu więc nic do rzeczy.
Takie myślenie jest trochę niepoprawne. Nie można mówić, że jutro wydany router firmy X, który będzie miał najnowsze SSH z tego roku – jest bez sensu tam umieszczane bo ataki na SSH są znane od Z lat (tak można powiedzieć o każdym programie). Producent na dzień dzisiejszy widzi, że nie ma żadnego znanego błędu lub złośliwego wykorzystania dostarczonej konfiguracji więc ją wypuszcza. Czas mija. Software i sprzęt się starzeje. Powstają nowe luki, szyfry są łamane, konfiguracje stają się niepoprawne. 12 letni błąd, który nie został naprawiony wynika z braku aktualizacji do reali, a nie kijowego designu. Póki sprzęt działa użytkownik go nie wymieni. Póki nie może – go nie zaktualizuje.
Ależ oczywiście aktualizacje mają sens, tak ogólnie.
Natomiast w tym przypadku chodzi o to, że producenci wypuszczali sprzęt, który już na dzień dobry miał znane luki, ponieważ producenci w ogóle nie zwracali (i do dziś wielu nie zwraca) uwagi na kwestie bezpieczeństwa.
Albo wręcz celowo powyłączali niektóre zabezpieczenia, aby im działały różne autorskie, napisane na kolanie, mechanizmy autodetekcji i parowania sprzętu.
Zgadzam się z Tobą ! IMHO póki nie będzie odpowiednich standardow ktore producenci maja spelniac, to bede mieli to w dupie. Aktualizacje z reguly dodaja nowe gowna, albo poprawiaja wyswietlanie reklam, a nie bezpieczenstwo. Ba, moga wprowadzic nowe buły czy backdoorsy:)
Wydaje się, że wielu problemów dałoby się uniknąć, gdyby urządzenia te nie były wpisanane „bezpośrednio” do internetu. No, ale postawienie sobie serwera VPN w domu i skonfigurowanie klientów nie jest zadaniem dla przeciętnego użytkownika. W sumie ciekawe implikacje będzie miało wdrożenie IPv6, gdzie zniknie częściowo istniejąca obecnie bariera w postaci NAT’ów (która czasami powoduje, że nie wszystko da się stuknąć z netu)
Raczej nie będzie miało żadnych implikacji, bo przy obecnym tempie wdrażania IPv6 te urządzenia dawno staną się elektrośmieciami, a dzieci twoich dzieci pewnie będą miały na głowie zgoła inne problemy security ;)
Co racja, to racja :-) Choć z wielu względów fajnie byłoby, gdyby dokonał się wreszcie przeskok na v6.