Время уязвимостей. Новая волна хакерства выдаёт недюжинную сообразительность злоумышленников

24.12.2014

Обновление возможностей технических продуктов, подпитывающее рынок безопасности, почти на сто процентов зависит от развития технологий. Однако прогресс рождает и новые возможности для злоупотреблений. Поэтому в солидных компаниях, прежде чем выпускать на рынок заведомо инновационный продукт, на всякий случай принято проводить экспертизу на предмет того, каким образом можно употребить новинку во зло. Если этого не сделать, разыгравшаяся пользовательская фантазия рано или поздно приведёт к появлению новых угроз и опасностей, непосредственно вызванных этим продуктом. Однако даже традиционные изделия, не содержащие сверхновых «ноу-хау», в наши дни могут стать небезопасными. Мир стремительно меняется, и, к сожалению, нам остаётся лишь изредка вспоминать о былом спокойствии.

Украсть

Техническими средствами вооружаются не только полицейские, но и воры. При этом правоохранители традиционно отстают, поскольку бюджетное финансирование обладает определённой инерцией, на поставку техники приходится объявлять тендеры и т.п. Чтобы хоть как-то защитить граждан, приходится ограничиваться информированием о новых опасностях — зачастую весьма неожиданных.

К примеру, пользователи банкоматов обычно набирают пин-код пластиковой карты, не особенно заботясь о том, чтобы скрыть процесс ввода цифр от посторонних глаз. Поскольку в приличных банках принято страховать клиентские счета, то банк в определённом смысле больше заинтересован в предотвращении мошенничества — поэтому на банкоматах появились всякого рода приспособления, осложняющие подглядывание со стороны. Тем не менее, криминальное сообщество, кормящееся вокруг процессов обналичивания денежных средств, периодически находит возможность выведать пин-коды карт. Фальшивые накладки-считыватели — инвестиция не слишком надёжная, по крайней мере, после того, как в прессе и сети Интернет появились предостерегающие публикации об этой технологии мошенничества.

И вот — новая напасть: ничего не подозревающая именитая компания выпускает на рынок приставку к коммуникатору iPhone, способную осуществлять тепловизионную съёмку. Вскоре после этого американские полицейские установили несколько фактов несанкционированного доступа к банковским счетам, предположительно связанных с использованием тепловизоров. Оказалось, что по истечении минуты с момента окончания ввода всё ещё остаётся возможность определить, какие кнопки были нажаты, по разнице температур между ними. Проведя серию экспериментов, калифорнийские учёные установили, что вероятность точного определения кода по состоянию клавиатуры в течение 60 секунд составляет 50%. Соответственно, через прессу пользователям настоятельно рекомендовали прикрывать ладонью клавиатуру на несколько секунд — это позволяет выровнять температуру между кнопками и тем самым сделать считывание кода при помощи тепловизора невозможным. Эта же техника может применяться и при вводе кодов доступа для входа в здания и помещения: идущий по пятам незнакомец вполне может достать из кармана айфон с приставкой и зафиксировать комбинацию цифр.

Информация об уязвимостях замков с электронным управлением способна сдвинуть предпочтения пользователей в сторону обычных механических замков: так, мол, надёжнее — повернул ключ, и дело с концом. Но не тут-то было: технический прогресс, будто действуя в сговоре с хакерами, поставил под сомнение и этот проверенный веками способ контроля доступа. Трёхмерная печать, ещё пять лет назад казавшаяся чем-то запредельно футуристическим, в прошлом году наделала много шума, обеспечив возможность массового «почти легального» изготовления серийного оружия из неметаллических материалов. Не успели правоохранители и юристы оправиться от шока по этому поводу, как 3D-принтеры принесли в хакерский мир новую напасть: легко тиражируемые отмычки, способные справиться с большинством цилиндровых замков.

Принцип действия отмычки — заполнение профиля замочной скважины ключом-болванкой, которую взломщик забивает внутрь скважины. Знающие люди утверждают, что при наличии отмычки и небольшой тренировке стать «медвежатником» по силам любому законопослушному гражданину. Уже появился и программный продукт под названием Photobump, предназначенный для формирования 3D-моделей отмычек для последующей «распечатки». В качестве исходных данных этот софт использует фотоизображение замочной скважины, а глубину пользователь задаёт самостоятельно. Пока программа находится в пользовании ограниченного количества юзеров из числа профессиональных «замочников», всё не так плохо. А вот что произойдёт при попадании её на торрент-трекеры...

Возможно, что распространение подобной техники взлома несколько «притормозит» высокая цена трёхмерных принтеров. Однако уже появились веб-сервисы 3D-печати по моделям заказчика, пользуясь которыми, любой желающий может заказать любое изделие. Трёхмерные модели деталей самодельного огнестрельного оружия на большинстве таких сервисов отслеживаются и блокируются (а кое-где сервисы и сообщают о таких попытках «куда следует»). До отмычек, однако, пока ещё никому нет дела.

Полюбопытствовать

Проникновение видеонаблюдения в повседневную жизнь с каждым годом усиливается. В Великобритании на дюжину граждан приходится по одной камере, и, не дожидаясь роста общественного недовольства, власти сами занялись регулированием защиты персональных данных при съёмке видеоматериалов в охранных целях. Введена специальная должность комиссара по информации, основным проявлением активности которого стали выпуск разного рода руководящих документов (на деле — лишь рекомендательных) и негодование в средствах массовой информации. Последние выступления чиновника были реакцией на информационные поводы, связанные со «сливом» в Интернет видеопотоков и фото с камер наблюдения, установленных в жилищах граждан.

Ряд жителей североирландского городка Кукстаун пострадал от публикации прямых ссылок на их домашние IP-камеры наблюдения на ресурсе, который фигурировал в британских СМИ как «предположительно находящийся в Молдавии». Особое (и весьма справедливое) возмущение журналистов вызвал тот факт, что один из вебкамов оказался направлен на детскую кроватку. Тем не менее, сообщалось, что хакеры, судя по заявлению на «молдавском» сайте, преследовали благие цели, призывая юзеров не пользоваться паролями по умолчанию. Взломщики даже пообещали удалить ссылки по мере обращения к ним владельцев камер. Что это было — рэкет, разводка, мошенничество — выяснить на данный момент не удалось, поскольку внимание СМИ отвлёк другой скандал. На этот раз вполне ожидаемо «переводящий стрелки» на русских хакеров.

20 ноября в британской газете Daily Mail появился материал «Русские шпионят за семьями британцев через их вебкамы». Ссылаясь на некий «российский сайт», автор публикации уверяет, что на ресурсе выложены скриншоты с шести сотен камер, установленных в жилых комнатах, спальнях, садах и придомовых участках по всему Соединённому Королевству. Здесь вновь упомянута детская кроватка, а также всплыла старушка из Уэйкфилда, зафиксированная в спальне, занимающаяся гимнастикой домохозяйка из Манчестера, а также мирно сидящий на диване шотландец из Ренфрю и т.п. По словам журналистов, помимо скриншотов, хакеры публикуют там же ссылки на видеопотоки с соответствующих камер, GPS-координаты камер и даже почтовый индекс местности, где расположен соответствующий дом.

Газета пишет, что на ресурсе, вломившемся в частную жизнь граждан, фигурирует реклама, оплаченная... британскими налогоплательщиками — все ссылки с рекламных баннеров ведут на ресурс Cyberstreetwise.com, где британские власти организовали кампанию по повышению бдительности населения. Журналист возмущается, с каким цинизмом русские хакеры разместили эту ссылку. Растиражировавшие статью британские СМИ, начиная с ВВС, договорились между собой принципиально не разглашать адрес сайта, чтобы не способствовать дальнейшему нарушению прав пострадавших. Всё это навело нас на мысли о том, что публикация может вполне оказаться вирусной рекламой, организованной для продвижения всё той же кампании за бдительность граждан.

Проштудировав веб-ресурсы на предмет обнаружения чего-либо похожего на расписанное британской прессой, редакция натолкнулась на русскоязычный сайт Insecam.org, где на момент подготовки этого материала обнаружено 55 британских вебкамов, а ссылки на реальные камеры и вправду ведут к рекламе. Только в действительности это реклама китайского ширпотреба, невразумительного веб-ТВ, продвижение методов быстрого обогащения — чего угодно, кроме инициативы британских чиновников по обучению населения элементарным навыкам IT-самообороны. Вполне вероятно, что рекламные ссылки вообще назначаются динамически, исходя из статистики пользовательских запросов.

На сайте есть признаки того, что его пытаются «затачивать» под отраслевую рекламу: отдельные разделы сайта посвящены производителям видеорегистраторов и камер. Из шести таких разделов четыре вообще пусты. Почтовые индексы и координаты, кстати, действительно выложены — при этом под фрагментом гугл-карты приводится забавное примечание: «Координаты являются весьма приблизительными и имеют точность в несколько сотен миль».

В общем, остаётся тольк о гадать, с чем мы имеем дело — либо Daily Mail откровенно врёт, либо «русские хакеры», испугавшись скандала, приняли определённые меры по зачистке содержимого сайта. По крайней мере, детских кроваток по опубликованным ссылкам найти не удалось; впрочем, шарить по видеопотокам оказалось занятием откровенно скучным, и уделить ему больше четверти часа не удалось. В FAQ-разделе ресурса, где предусмотрены ответы на потенциально возникающие вопросы, на вполне сносном английском объясняется: никто никаких камер не «хакал», использовались комбинации логинов/паролей по умолчанию. Там же приводится способ поиска охранных IP-камер через запросы в поисковике. И, конечно же, первым выложен ответ на вопрос «как убрать камеру с сайта» — пишите, ссылка будет удалена, но доступ к камере всё равно останется открытым, пока не смените пароль. С нашей точки зрения, всё абсолютно честно и прозрачно, а скандал попросту высосан из пальца.

Бушующие вокруг хакерства страсти нередко основаны на отсутствии качественной информации и привычке журналистов подгонять реальность под собственное понимание. Понимание это нередко основывается на голливудских штампах, к примеру, представлениях о том, что «силы зла» реально существуют, и некие мерзавцы денно и нощно ищут способы отъёма денег и спокойствия у простых законопослушных граждан, вламываясь через специально проделанные дырки в хитроумной компьютерной защите их ноутбуков и смартфонов. То, что оставить IP-камеры незащищёнными могут сами пользователи, как-то не приходит в голову прессе. Уже упомянутая медиа-кампания Cyberstreetwise не в счёт, к тому же она весьма полезна. Обывателя надо образовывать с точки зрения навыков соблюдения безопасности. Просто обидно, что британцев опять пугают русскими, как во времена «холодной войны», притягивая за уши труднопроверяемую информацию.

Вернёмся к парольной защите. Она предусмотрена практически во всех моделях IP-камер, однако реализации её могут существенно различаться. Одни производители оставляют смену пароля по умолчанию на совесть пользователя и тем самым подвергают риску самого пользователя. Во многих системах камерные пароли по умолчанию остаются на долгие годы — до первого серьёзного инцидента. Более продвинутые производители IP-камер ставят пользователя в такие условия, когда оставить пароль по умолчанию слишком сложно либо вообще невозможно. Самый простой способ заставить юзера задать уникальный пароль — потребовать этого при первичной инсталляции камеры. Можно предусмотреть в процедуре настройки и оценку сложности пароля, ограничив минимальное количество символов и их состав: цифры, буквы в различных регистрах и даже их минимальное количество в пароле. В результате получается нечто корявое и неудобозапоминаемое, но в большей степени защищённое, чем «admin» или «12345678».

Новые IP-камеры Samsung напрочь лишают пользователя возможности оставить пароль по умолчанию: процедура смены фактически принудительна — и это существенно повышает степень защищённости камер. Точно так же ведут себя и продукты для видеонаблюдения Cisco; впрочем, сетевой безопасности эта компания всегда уделяла повышенное внимание. В камерах Axis пользователю оставлена свобода — либо задать при первом запуске новый пароль, либо обойтись дежурной отмычкой «pass». Это предусмотрено на случай, если до момента первого контакта пользователя с камерой доступ к ней будет запрашивать VMS-софт.

Специалисты обнаружили, что некоторые производители камер и видеорегистраторов вовсе не заботятся о защите своих продуктов от несанкционированного доступа. В большинстве моделей камер Dahua предусмотрена комбинация логина/пароля по умолчанию «admin/admin», а заодно присутствуют две пользовательских учётных записи, которые невозможно удалить: «666666/666666» и «888888/888888». При этом «восьмёрки» имеют права администратора. А в нескольких моделях DVR, включая и регистраторы нового стандарта HDCVI, функции задания нового пароля вообще не предусмотрено.

Радует, что отраслевое сообщество не дремлет, и в профессиональной среде продолжает распространяться полезная информация, в том числе и такого рода. И в конкурентной гонке выиграют те производители, кто окажется ближе к реалиям эксплуатации систем видеонаблюдения, в частности, используя обратную связь с пользователями и инсталляторами.

Просто порезвиться

Уязвимости компьютерных систем обусловлены, как известно, халатностью производителей и/или ленью и некомпетентностью пользователей. При этом поведение последних в принципе предсказуемо. А вот технические ошибки, совершённые в ходе создания продукта и перекочевавшие в его продажную версию, зачастую неожиданны и нелепы.

Разрабатывая программное обеспечение для смартфонов, позволяющее пользователям отдавать голосовые команды смартфонам, казалось бы, вполне логично проверить, какова будет реакция софта на чужие голоса. Возможно, на какой-то стадии работы над продуктом такая проверка и производилась, однако тесты ПО, реализованного в операционных системах Google Android и Apple iOS, показали, что смартфоны и «умные» телевизоры без проблем реагируют на голоса, генерируемые программными синтезаторами речи.

Специалисты по кибербезопасности компании AVG провели эксперимент, в ходе которого синтезированный голос заставил смартфон разослать сообщение электронной почты группе пользователей. В сообщении содержалась информация о прекращении деятельности вымышленной компании, но в принципе текст мог бы иметь любое содержание. Новость не стала сенсационной, и напрасно: огромное количество брешей в защите смартфонов и всё усиливающаяся зависимость нашего технического окружения от мобильных гаджетов могут однажды привести к большой беде. Или к множеству более мелких бед, справиться с которыми будет весьма непросто.

В век, когда технический прогресс стал одним из главных факторов, влияющих на человеческие отношения, основным источником тревог и сомнений становится доверие производителям предметов и провайдерам услуг. Весь ужас в том, что с каждым годом оснований для этого доверия становится всё меньше. Возможно, хакеры не так уж и страшны, а в определённой мере даже полезны обществу. По крайней мере, если бы не они, мы бы никогда не узнали, насколько уязвимы современные технические средства.


Возврат к списку

 Подписаться на RSS-канал