Пропищяло ФБР...

Интересна статия за страха на ФБР от троянски коне в оборудването, което купуват има тук - http://news.netinfo.bg/?tid=40&oid=1198016

Основанията за страха са същите, като да си купят Windows – нямат му source, а дори да имат нещо (по съответната програма на Microsoft) все пак не могат да го компилират, така че не е сигурно, че компилирания код, който ползват е този, рефериран от source-то, което им е дадено за успокоение.

Не е нужно да ползваш фалшив хардуер, за да сложиш троянски кон. Наскоро успяха да вкарат key logger в CPU microcode, където никой не може да го открие. А само чрез софтуер е дори по-лесно. По патриотично задължение от NSA всички произведени от американска компания мобилни компютри имат хардуерни key logger-и за последните 3000 натиснати клавиша – това включва Dell, Apple, HP, IBM. Когато сделката между IBM и Lenovo стана факт, опищяха орталъка, че вече не само американските, но и китайските тайни служби имат достъп до логовете, от компютрите отиващи за ремонт в Китай. Май само японските производители нямат key logger-и но и това не е сигурно.

В частния случай на споменатите в статията Cisco Systems, още през 2005-та година бе демонстриран exploit за Cisco IOS и имаше една подробна презентация как това да се прави от Майкъл Лин, когото адвокатите на компанията взеха за боксова круша и концентрираха вниманието си върху него за безчестие на фирмата, с цел тази информация да не се разпространява особено публично (прочетете повече в Wikipedia, както и в Google за Michael Lynn), а само между хакери. Майкъл Лин се държа като истински мъж и въпреки всичките заплахи (а аз смея да кажа, че са грозни) все пак публикува презентацията си и макар да бе премахнал 2 слайда, останалото бе предостатъчно да даде много добра идея, как точно се прави работата на всеки средно образован инжeнер, и за доброто на индустрията накара да се промени сериозно Security Policy-то на засегнатата компания в истинска полза за потребителите. Така или иначе аз съм виждал Cisco IOS exploit-и още през 2003-та година, а базовото познание как се правят (и тук скромния аз мога да ви разкажа и за един мой remote Cisco IOS exploit върху rcmd buffer overflow в старите IOS-и) е принципно налично поне от 1998-ма и 1999-та година. Така че поведението на Cisco подобно на поведението на Microsoft в този случай бе по-скоро да защитава реномето на компанията, на практика лъжейки клиентите си, че са подсигурени, с твърдението, че хакерите не знаят как се прави (още преди презентацията на Лин през 2005-та година имаше демонстрация на работещ Explot). Ако Лин публикувал информацията си, заплашвал незащитените поради грешките на програмистите на Cisco клиенти, случайно заблудени в противното, защото Cisco очевидно няма достатъчно ресурс, и интелигентност, колкото има един 15 годишен хакер, за да си оправи проблема преди него.

Това разбира се не е проблем само на Cisco. Големите компании правят бизнес повече от политика, отколкото от технологии, и като истински политици те се стремят да поддържат реноме за сметка на гласоподавателите/акционерите/клиентите си. Подобни проблеми имат практически всички компании, включително Juniper, Lucent, но най-вече Microsoft.

Спомняте ли си Георги Гунински? Това е един мой добър приятел, който определено е най-известния български security expert в чужбина. В неговият скромен публичен списък от открити проблеми стоят 5 скалпа на базови buffer overflow exploit-а за AIX, и мога да твърдя, че до ден днешен всички хакове за тази операционна система на IBM са базирани на неговият труд. Също така има публични exploit-и за Windows 2000, Netscape, Oracle, Linux, FreeBSD, прехвалената в Security отношение OpenBSD (едва ли не два дни след като си я пусна за първи път намери local root exploit), но най-известния му труд разбира се е Internet Explorer. Неговите 53 публични Security проблема за Internet Explorer все още представляват един сериозен обем от общото количество открити публични Security проблеми в този browser, а принципите, на които са базирани са основата на десетки други, практически стъпили на раменете на труда на Гунински. За един период от време в началото на 21-ви век, на половината от проблемите за тази платформа появяващи се годишно бяха публикувани от само Гунински. А това не му беше основна занимавка, той си имаше паралелно бизнес като Security консултант на Netscape и Mozilla проектите и се занимаваше основно с това. Той така си беше наредил проблемите – пускаше по един на месец или седмица, като редовно четиво, че цялата индустрия просто си чакаше датата, за да види какво ново ще ни покаже този път.

Microsoft като истинска голяма компания, не по-различно от поведението на Cisco спрямо Лин, опитваше да го убеди да не бъде такъв един „лош”, да не публикува проблемите, или ако го прави, да им ги дава предварително няколко месеца, и да ги публикува едва след като те се съгласят (ако ще да е и след години), защото за Microsoft е трудно да си оправи проблемите по-бързо, отколкото един 15 годишен хакер може да направи exploit. Най-висши служители по сигурността идваха редовно за моркови и тояги срещи с Гунински в България (а не с министри или ГДБОП). Гунински обаче бе склонен да дава фиксиран малък срок отстъпка и толкова. И Microsoft пробваха друго – започнаха една дискусия и заедно с други 2-3 големи компании натиснаха Bugtraq (сега SecurityFocus) да промени политиката си и да не публикува нищо на листа (известен като мястото, където се пускаха първи проблемите със сигурността, за да може засегнатите мрежи да вземат мерки) преди разрешението на засегнатия производител, и само след като той е готов с „поправка”. Гунински участваше в дискусията заедно с куп други специалисти от другата страна – с позицията, че това, че нещо не е публикувано на листа не прави клиентите (на Microsoft в частния случай) по-сигурни, защото хакерите не публикуват на листа и си имат свои методи за разпространение на проблемите. Така или иначе Microsoft победи, и продължава да обяснява на клиентите си колко е сигурен Windows точно защото поради една такава политика никой не може да знае точно колко известни и неоправени проблеми съществуват, преди Microsoft да ги поправи и да публикува информация за тях.

Днес от позицията на отминалото време можем да кажем, че тази смяна на политиката уби Bugtraq. Той отдавна не е това, което беше. А потребителите не са по-сигурни. Напротив, днес са по несигурно от всякога, защото не знаят кога има проблеми и не знаят къде да научат за тях, докато след десетки месеци закъснение (Microsoft се хвалят, че са си свалили времето на реакция до 3 месеца) компаниите не публикуват поправка.

Тогава Гунински си направи свой mailing list, където да пуска откритите от него проблеми, заобикаляйки политиката на Bugtraq, и мога да ви кажа, че там се записа на практика цялата индустрия. Бих казал, че не съм виждал друга такава концентрация на хора и отдели от най-големите и известни компании и имена в индустрията.

Разказвам тази история (надявам се Гунински да не ми се сърди) защото напоследък много се забравя как по-големите компании предпочитат да правят политика, отколкото технологии. Те обичат да пускат политически съобщения до масите и газят като валяк всеки, който ги оборва. Действителността няма значение. А тези, които се опитват да я покажат биват преследвани като еретици от църквата.

И да се върнем на статията – Cisco типично продават оборудването си приблизително 10 пъти над производствената му цена. Поради това е лесно за всеки, който е завършил техникум по електроника да копира хардуера им и да го продава значително по-евтино от тях, с добра печалба (по е лесно за по-простите модули, защото там, където ползват FPGA трябва да се преодолеят някой защити, но до сега няма опънал се хардуер за китайците). И това се прави от над 10 години насам. Миналата година компанията поде кампания срещу „клонингите” от SFP-та до модули за маршрутизатори. Спомням си използваните термини в западните медии защо клониращия е зъл враг на капитализма, и как тия комунисти продавайки евтини модули заплашват сигурността на държавата и клиентите, щото можеш ли да им вярваш така както безрезервно вярваш нa Cisco? Те може да са поставили вътре някой троянски кон, дето оригиналната компания е забравила да постави, а информацията от него може да отива и до подлите комунисти, вместо само до гнилите капиталисти! Днес тези думи ги виждам дословно изказани от хора от ФБР. А Cisco казват другия отговор, в който може би се крие и истината:

Това да се клонира хардуера евтино е лесно и просто. Но това не носи автоматично риск за държавата или ползвателя му. Не и повече, отколкото е имало преди. Копирачите на хардуера го правят за печалба, а не, за да захранват и без това доказалите се като ултра неадекватни тайни служби по цял свят.

Ако не приемем, че това е някаква интрига, в която Cisco е ангажирал/вкарал ФБР, за да могат те да следват тяхната борба, от тяхно име, то по-скоро звучи като проявление на безсмислена и безпричинна параноя.

Теоретично използването на всеки продукт със затворен код и архитектура (Microsoft, Cisco, Juniper, IBM, HP и кой ли не) носи риска да компрометира сигурността ти, защото не знаеш какво точно прави, и никога нямаш простата и легална възможност да го провериш. Но животът е риск. Не можеш да не приемаш рискове. С известно комбиниране на продукти от различни производители в различни сфери, и имплементирайки базови security принципи на всяко IT ниво, риска се намалява до толкова, че цялата информация необходима за компрометирането на сигурността ви изисква работата на няколко производителя. Нещо, което е трудно осъществимо без сериозна организация, която да го направи и следователно може да се случи изключително трудно, и невероятно да се случи.