От чего нас отвлекают, или по следам уязвимости Shellshock

Читая заметки, касающиеся последних уязвимостей, невольно чувствуешь себя наблюдателем, на глазах которого разворачиваются масштабные события. Посудите сами, за относительно короткий срок мы узнаем о HeartBleed, BadUSB, BERserk, а теперь и Shellshock. Это при том, что каждая из этих уязвимостей в отдельности может быть положена в основу блокбастера. Давайте попытаемся разобраться в том, что происходит.

И так, Сеть до сих пор лихорадит от недавно обнаруженной уязвимости в UNIX-интерпретаторе команд bash. Как оказалось, более 10 лет оболочка bash в различных NIX системах (а это немалое количество интернет-серверов, сетевого оборудования, встроенных систем и т.д.) была уязвима к инъекции кода из-за некорректной обработки переменных среды. Перечень уязвимых служб и вариантов атак продолжает расти, расследование идет. На данный момент точно известно об успешных атаках на UNIX web-сервера, использующие метод CGI, DHCP и OpenVPN. Это краткая вводная для тех, кто по каким-то причинам пропустил начало событий.

Скептик может возразить, мол, уязвимости, а тем более, критические уязвимости, находили и раньше, и видит Бог, будут находить в будущем, и по-своему будет прав. Однако я вижу все иначе и хочу поделиться своими мыслями с читателем.

Во-первых, я хотел бы обратить Ваше внимание на «калибр» HeartBleed и Shellshock. В отличие, скажем, от BadUSB, живых примеров которой в природе мы пока не встречали (демонстрация на Black Hat не в счет), первые две уже были успешно апробированы в качестве «отмычек» при целевых атаках. Опять же, следует учитывать, что нам остается оперировать данными, которые появились уже после того, как уязвимости были обнародованы. Отследить факт использования таких скрытых угроз на протяжении их жизненного цикла весьма трудно: пока не знаешь куда смотреть, не увидишь.

Во-вторых, я не случайно рассматриваю HeartBleed и Shellshock в паре. Обе уязвимости хоть и отличаются механизмами реализации, имеют нечто общее:

• затрагивают интернет вещей;
• оставались необнаруженными долгое время;
• могли использоваться для целевых атак.

Что касается интернета вещей, то помимо большой «площади поражения», показательным является то, что уязвимости HeartBleed и Shellshock не только представляли угрозу для инфраструктуры компаний, но также могли быть использованы для компрометации различных решений ИБ. То есть, в группе риска оказались не только целевые системы, но и механизмы защиты, которые были построены с использованием уязвимых opensource-компонентов.

По поводу длительного пребывания в тени: HeartBleed по разным оценкам существовала до официального обнаружения около двух лет, Shellshock – минимум 10. Мы все знаем, что даже фрейм длительностью от 7 до 14 дней для уязвимостей такого класса – это опасно, а тут годы. И ведь никто в здравом уме сейчас не даст гарантии, что этими уязвимостями не пользовались ранее, пока о них не было известно широкой публике.

В свете вышеизложенного становится очевидным, что уязвимости такого рода для атакующих являются первоклассными инструментами. Ведь не зря же, екс-хакер, пионер социальной инженерии Кевин Митник открыл сервис по продаже эксплойтов. Он не первый, кто осознал перспективность торговлей таким специфичным товаром, в качестве примера можно привести небезызвестную французскую компанию Vupen Security.

С последней, кстати, связан показательный случай: одержав победу на хакерском конкурсе Pwn2Own в 2012 г., представители Vupen Security отказались передать подробности уязвимости браузера Google Chrome компании Google. Vupen отказалась от приза в размере $60&nbs.тысяч потому, что решила приберечь эксплойт для продажи заказчикам по возможно выгодной, гораздо большей цене. Теперь читатель может судить о стоимости подобных эксплойтов. Напомню, что в случае с Vupen речь шла о браузере, чей ареал, как правило, ограничен в отличие от известной уже парочки HeartBleed и ShellShock.

А теперь мы подходим к самому интересному. Если рассматривать уязвимости, приведенные мной в начале текста по отдельности, то выводы будут весьма предсказуемы: «еще одна прореха, серьезная, нужно будет накатить апдейты». Но если абстрагироваться от подробностей и попытаться как можно шире охватить горизонт событий, то в голову приходят мысли совсем иного толка:

Мысль #1. Почему только сейчас?

Я имею в виду, что все мы: админы, технари, эксперты и обычные пользователи Сети, могли существовать в неведении еще лет десять прежде, чем кто-то обратил бы наше внимание на уязвимости подобного рода. И это несмотря на самоотверженные старания комьюнити ИБ и opensource-экспертов различного ранга. Такие размышления формируют следующую мысль.

Мысль #2. Обнаружение таких существенных уязвимостей в фундаменте Сети – это заслуга экспертов или наоборот – чья-то недоработка?

В самом деле, как так, 10 лет к ряду никто там не искал, а тут вдруг нашли. А ведь потенциал у ShellShock`а большой, и создается впечатление, что его просто «слили». Почему? Очевидно, что частные компании типа Vupen на ряду с различными спецслужбами могли бы еще несколько лет успешно использовать эти уязвимости. Если руководствоваться древнеримским принципом «Cui bono» (Кому выгодно?), становится очевидным, что ни тем, ни другим преждевременный «слив» такого качественного материала был невыгоден. Что приводит нас к следующей мысли.

Мысль #3. Обнаружение этих уязвимостей является попыткой улучшить Сеть или изменить правила игры?

Понятное дело, что мысль о существовании некоего круга лиц, которые уподобившись Робин Гуду берут эксплойты у АНБ и передают их общественности слишком наивна и способна разве что вызвать усмешку у читателя. Может быть, предупреждение о фундаментальных уязвимостях – это благо для пользователей сети? Но только в том случае, если нас не подталкивают к чему-то заранее подготовленному. Ведь согласитесь, такими «сливами» удобно готовить почву для перехода на новые, защищенные технологии, которые контролируются теми, кто больше заплатит.

Мысль #4. От чего нас могут отвлекать?

Если моя предыдущая гипотеза показалась Вам невероятной, в духе теории заговора, попытайтесь поразмыслить над тем, кому и для чего может понадобиться такой отвлекающий маневр с серьезными уязвимостями? Неоспоримый факт – основная масса ИТ-сообщества, в том числе и кибер-преступники, узнали о том, что bash уязвим после обнародования информации в Интернете. С одной стороны, широкая огласка дает возможность сознательным технарям закрыть уязвимость в подшефном хозяйстве, с другой – дает очередной вызов ИТ-энтузиастам, которые не всегда применяют знания во благо. Сейчас, пока эти уязвимости «на слуху» многие эксперты с мировым именем сосредоточились на bash и openssl. И администраторы многих компаний волей-неволей втягиваются в этот процесс, устанавливая очередной ворох обновлений, который, кстати, не защищен от ошибок, как это произошло с первыми патчами для ShellShock. Ведь гарантий, что патч не добавляет новых проблем, разработчики не дают.

Почему бы в этот момент, пока все заняты делом, не произвести «закладку» в новую редакцию стандарта или начать атаковать совсем в другом месте?

Мысль #5. К чему готовиться?

Любой уважающий себя ИТ/ИБ специалист в первую очередь обязан «держать руку на пульсе событий». Если же он не следит за ситуацией, ценность его экспертизы падает с каждым днем. Поэтому на первых порах мы вынуждены будем только наблюдать. Да, нам всем также необходимо вычитывать сводки, ставить патчи. Но не стоит расслабляться и зацикливаться на той проблеме, которая в данный момент является «трендом». Необходимо постоянно проверять каждый элемент структуры ИТ-системы, иначе именно он может в последствии стать тем самым «слабым звеном».

Вполне возможно, что в скором времени нас ожидает порция очередных фундаментальных уязвимостей.

Все вышеизложенное является моим личным мнением и не претендует на истину в последней инстанции.

P.S. Помните, неосторожное использование высоких технологий может привести к нежелательным последствиям.