Попробовать
демоверсию
Бесплатная демоверсия позволяет ознакомиться со всеми возможностями нашего биллинга
+7 499 940-95-05

Универсальный инструмент для установки бэкдоров: Что не так с системными обновлениями

Предыстория

Еще в 2014 году редакция Washington Post писала о том, что компаниям вроде Apple и Google стоило бы изобрести нечто вроде секретного ключа, с помощью которого можно было бы получать доступ к их продуктам и который бы они хранили и передавали спецслужбам только в случае получения ими судебного решения».

Авторов материала тогда раскритиковали за сам факт выдвижения такой идеи — интернет-сообщество выступило резко против, мотивируя это тем, что если разрешить пользоваться таким инструментом для взлома только «правильным» людям вроде государственных служащих и спецслужб, то все равно нет никакой гарантии, что он не окажется не в тех руках.

Проблема в том, что такой «золотой ключик», открывающий доступ к любому устройству, и так уже существует, пишет Риге — это системные обновления. 

Немного теории

Риге пишет о существовании «слабых звеньев», в которых цепь безопасности программного обеспечения может разорваться, позволив злоумышленнику обмануть компьютер жертвы и заставить его «поверить» в то, что предложенное ему зловредное обновление на самом деле является легитимным. Такая «направленная атака обновлений» позволит получить доступ к системе конкретного человека — это значит, что другие пользователи того же самого софта о ней не узнают, что позволит хакеру долгое время оставаться незамеченным.

Риге выделяет два условия для проведения атаки такого типа: злоумышленник должен иметь возможность отправить обновления на систему жертвы, и каким-то образом убедить систему, что обновления пришли из доверенного источника. Если ему удастся это сделать, то он получит поистине неограниченные возможности по совершению противоправных действий. Если представить, что злоумышленник смог обманом установить специально сгенерированное обновление операционной системы, то он сможет получить доступ к данным любых используемых ею приложений, завладеть всеми ключами доступа и паролями, а также всеми незашифрованными данными. 

В случае бэкдора в системе шифрования хакер сможет расшифровывать случайные данные, зашифрованные жертвами, а не запускать зловредный софт. Риге пишет, что по его мнению, многие люди, осудившие идею материала Washington Post, имели в виду бэкдор последнего типа.

С точки зрения же атакующего каждый из двух вариантов имеет свои плюсы, пишет немецкий исследователь. Первый вариант позволяет пассивно собирать данные, в том числе зашифрованные, для их дальнейшей расшифровки. Второй вариант же позволяет провести атаку только при возникновении условий для этого, однако если такие условия появляются, хакер получает куда больший простор для действий, чем в случае доступа к полученным, но зашифрованным данным. В таком случае, он сможет перехватывать данные всех приложений и даже подключенных устройств, вроде микрофонов или камер.

При всем масштабе возможных проблем многие разработчики софта только в последнее время задумались о том, чтобы как-то подтверждать аутентичность своих обновлений. Однако даже в случае большинства проектов, которые этим озаботились, их создатели все равно оставляют возможные слабые звенья в цепи, уверен Риге.

В чем проблема

Исследователь пишет, что проблема существует в случае большинства операционных систем. Любимая ОС Риге — это Debian. С помощью простой команды, пользователь может узнать, сколько существует «слабых звеньев», в которых злоумышленники могут попытаться нарушить цепь безопасности при загрузке обновлений:

sudo apt-key list | grep pub | wc -l


В случае системы Риге это число — девять. Вот как проблему описывает он сам:

Каждый раз, когда я запускаю команду apt-get update, любой, у кого есть доступ к одному из этих девяти ключей, и кто располагается между моим компьютером и серверами, с которых он скачивает обновления, может отправить мне зловредный софт, и я запущу его с правами root-пользователя.

 

Почему это стало возможным

Риге пишет, что тот факт, что огромное количество умнейших людей, занимающихся проектированием и разработкой софта, до сих пор не обращают внимание на эту проблему, просто удивителен. Исследователь объясняет это смесью «наивности и самоуверенности». Разработчики уверены, что им удастся обезопасить свои ключи в условиях реальной атаки, но они не задумывались о том, что правительства разных стран могут просто заставить их пользоваться собственными ключами для подписи нужных им, но зловредных для пользователей обновлений.Apple против ФБР: что происходит на самом деле

Текущие события вокруг требований ФБР к Apple по предоставлению возможности расшифровки данных iPhone, говорят о том, что люди вроде Риге, которые беспокоились из-за тех самых «слабых звеньев безопасности» больше не являются маргинальными параноиками, и проблема существует на самом деле. 

Во всей это истории самым важным, по мнению исследователя, является тот факт, что ФБР требует от Apple предоставить ведомству подписанное обновление, которое будет отключать функцию iPhone для удаления данных после определенного количества попыток подбора PIN-кода. 

В системах вроде Debian подобной функциональности нет — если кто-то сможет получить доступ к зашифрованному жесткому диску, то у него будут все возможности по проведени брутфорс-атаки на пароль. Однако сделать это в целом сложнее, чем в случае с коротким PIN-кодом — на компьютерах с клавиатурой люди выбирают куда более сложные и длинные пароли. Однако если атакующий сможет «убедить» компьютер запустить случайный код без расшифровки диска, то можно будет просто получить доступ к ключу, а сложность его пароля станет просто бесполезной.

Поэтому, когда Apple говорит о том, что ФБР пытается «заставить нас создать бэкдор к нашим продуктам», на самом деле они говорят, что спецслужба пытается заставить компанию использовать бэкдор, который в этих продуктах уже присутствует, считает Риге. Исследователь говорит, что тот факт, что ФБР просит Apple написать еще и какой-то дополнительный код, в данном случае роли не играет — они всегда могут нанять для этого других разработчиков. Единственное, что может сделать Apple и только она — это предоставить ФБР подпись для обновлений.

Стоит ли рассматривать те самые «слабые звенья» в качестве полноценных бэкдоров? Риге пишет, что многие специалисты по безопасности не согласятся с этим, поскольку это не общепринятое определение того, что считать бэкдором — все-таки подобная конфигурация систем не является тайной ни для кого. Но в деле Apple сама же компания и использует слово «бэкдор», описывая «слабое звено» криптозащиты своих систем.

Что это означает

Apple может победить в текущем споре с ФБР, пишет Риге. Однако, они могут и проиграть, а это значит, что в прошлом компания могла уступить в этом вопросе кому-либо еще. Что если какая-то криминальная группировка так же, как сейчас ФБР, захотела получить возможность получать данные с защищенных PIN-кодамаи «айфонов»? И что, если эта организация нашла людей, которые понимают устройство технологий, и те объяснили злоумышленникам, кого нужно «заставить» сделать такую возможность реальностью? Люди внутри компании, у которых есть доступ к этому «золотому ключику» могут оказаться в серьезной опасности, если по-настоящему мотивированные люди захотят тоже завладеть им.

Риге надеется на то, что ситуация со спором Apple и ФБР послужит тревожным звонком для разработчиков популярных систем, использующих распределенную инфраструктуру рассылки обновлений. Исследователь считает, что в итоге уже в ближайшем будущем текущие неэффективности этого механизма должны быть устранены, и чтобы провести атаку, подобную описанной выше, злоумышленникам придется заняться компрометацией нескольких ключей, которые хранятся у разных людей, находящихся в различных юрисдикциях. Существует целый ряд проектов, которые могут помочь добиться решения этой задачи, включая Cothority от Dedic и Notary от Docker.

Избавление от «слабых звеньев», атака на каждое из которых может стать критической, должно стать базовым требованием к любым новым механизмам распространения программного обеспечения.

Подписывайтесь на наш блог, чтобы не пропустить ничего интересного!

15.03.2016

Другие публикации

По определению консалтинговой компании Deloitte, текущий период в мировой экономике характеризуется неопределенностью. Поэтому бизнес во всем мире стремится к оптимизации и снижению издержек. Сегодня мы рассмотрим несколько способов, с помощью которых компании из разных стран экономят уже сейчас.
В новой версии Гидры мы по традиции продолжили работу над коммерческими возможностями биллинга. Встречайте контрактные тарифы! Другие мелкие улучшения упрощают интеграцию Гидры с внешними системами.
Компании из самых разных отраслей бизнеса сталкиваются с часто повторяющимися бизнес-процессами, связанными с обработкой заявок. В большинстве отраслей выполнение типовых работ и услуг — это сложный и разветвленный бизнес-процесс. Мы много размышляли об этих проблемах и создали инструмент, который каждая компания могла бы легко адаптировать под себя — новый продукт Гидра OMS
В одном из наших постов мы уже описывали ситуацию, в которой бесконтрольный рост таблиц в базе данных одной компании-пользователя нашей системы привел к настоящему DoS. Сегодня речь пойдет о еще одном интересном случае внезапного сбоя, который сделал «день смеха» 1 апреля этого года совсем не смешным для службы поддержки «Латеры».
В Instagram развертывание backend-кода (основная программно-аппаратная часть, с которой работают клиенты) происходит от 30 до 50 раз в день, каждый раз, когда инженеры подтверждают изменение оригинала. И, по большей части, без участия человека — сложно в это поверить, особенно учитывая масштабы соцсети, но факт остается фактом.
В этой заметке речь пойдет о масштабировании. Разработчики open-source почтового приложения Nylas опубликовали в своем блоге материал о том, как им удалось масштабировать систему в 20 раз за три недели с помощью инструмента ProxySQL. Для этого им пришлось переехать с Amazon RDS на MySQL на EC2.
Интересный материал о работе с JSON, и в частности, о применении ограничений опубликовал в своем блоге разработчик Магнус Хагандер (Magnus Hagander) — в нашем блоге мы решили представить его основные идеи.
Успешно завершили интеграцию биллинга Гидра с порталом NEXT TV.
В этой заметке мы рассказываем о плюсах и минусах денормализации баз данных. Разработчик баз данных и финансовый аналитик Эмил Дркушич (Emil Drkušić) написал в блоге компании Vertabelo материал о том, зачем, как и когда использовать этот подход. Мы представляем вашему вниманию главные тезисы этой заметки и делимся своим опытом.
Разработчики из американской компании Gaslight написали интересный материал о том, почему организация, известная своей любовью к Ruby и Ruby on Rails, решила инвестировать в освоение новых технологий — например, Clojure. Мы тоже работаем с этим языком программирования, поэтому решили выделить главные тезисы команды Gaslight в отдельный материал.
Разработчик и сотрудник проекта CouldBoost.io Наваз Дандала (Nawaz Dhandala) написал материал о том, почему в некоторых случаях не стоит использовать MongoDB. Мы в «Латере» уже много лет работаем с этой СУБД, поэтому решили представить и свое мнение по данному вопросу.
Инженер проекта Haleby.se написал материал, в котором рассказал о причинах выбора в качестве инструмента оркестрации Docker-контейнеров технологии Kubernetes. Мы представляем основные мысли этой заметки.
Адаптация заметки бывшего сотрудника Amazon про то, почему плохие продукты пользуются большим успехом, опубликованная в авторской колонке Дмитрия Копловича на Rusbase.
Поучительная история из жизни нашей техподдержки про то почему операторам нужно мониторить размеры таблиц в своих базах.
Инженер компании Akalak & Neo Technology Горка Садаковски (Gorka Sadakowski) написал интересный материал о том, как использование графовых баз данных может в режиме реального времени предотвращать мошенничество в сфере электронной коммерции. Мы представляем вашему вниманию основные мысли этой заметки.
Платежные протоколы уязвимы — об этом рассказали немецкие исследователи информационной безопасности на конференции Chaos Computing Club. Предлагаем вам адаптированный перевод их выступления.
Наша адаптация заметки разработчика и системного архитектора Михаэля Виттига о наиболее распространенных ошибках в использовании Amazon Web Services.
Наш адаптированный перевод заметки главного разработчика Azure Джеффа Уилкокса, о том, как более двух тысяч членов команды проекта переезжали на GitHub.
Представляем вашему вниманию адаптированный перевод одной из глав книги «Архитектура open-source-приложений», в которой описываются предпосылки появления, архитектура и организация работы популярного веб-сервера nginx.
Наш сегодняшний пост посвящен тому как мы писали софт для контроля работы удаленных сотрудников.
Сегодня мы расскажем про устройство системы подпольного банкинга Хавала, которая возникла еще в VIII веке и до сих пор пользуется большой популярности в странах Среднего Востока, Азии и Африки.
Мы уже рассказывали о том какие проблемы могут возникнуть у компании при саомостоятельной разработке сложных систем. Сегодня мы поговорим о том, как мы работали над повышением отказоустойчивости «Гидры».
Адаптированный перевод заметки главного инженера LinkedIn Джоша Клемма о процессе масштабирования инфраструктуры социальной сети.
Адаптированный перевод заметки инженера финансового стартапа Stripe о том, как его команда мигрировала огромное количество записей в базе данных.
По нашим оценкам, около половины российских операторов связи используют самописный (или переписанный до неузнаваемости простенький «покупной») софт. Сегодня мы поговорим о возможных минусах такого подхода.
Появились маркетинговые инструменты для сегментации абонентской базы, управления скидками и пакетными предложениями.
Подробнее читайте в блоге.
В новой версии мы полностью переработали механизм работы с услугами. Это сразу дало несколько серьезных улучшений, но полностью все заложенные в новой версии возможности будут раскрыты в следующих версиях.
В новой версии была полностью переработана система прав доступа. Новая система уникальна и позволяет реализовать самые смелые замыслы по разграничению доступа сотрудников к биллингу.

Начните знакомство с Гидрой прямо сейчас

Попробовать демоверсию Купить Гидру

Оформление демоверсии

Пожалуйста, укажите реальный email, на него придут данные для доступа в демо.
Все поля являются обязательными для заполнения.
.hydra-billing.com

Для вас будет развернута персональная облачная версия Гидры.
Нажимая кнопку "создать демоверсию" вы соглашаетесь с
Политикой обработки персональных данных.

Мы можем вам перезвонить

Нажимая кнопку "отправить" вы соглашаетесь с
Политикой обработки персональных данных.

Напишите нам!

Ваша компания

Услуги, которые вы предоставляете:

Нажимая кнопку "отправить" вы соглашаетесь с
Политикой обработки персональных данных.

Скачать буклет

Ваш адрес:

Хотите узнать больше?

Рассылка делается примерно раз в месяц. Мы обещаем бережно хранить ваш электронный адрес и никому его не выдавать даже под пытками.