Библиографический список (References)
1. Андреев В.И. Педагогика высшей школы. Инновационно-прогностический курс: учеб. пособие. Казань: Центр инновационных технологий, 2008.
Andreyev V.I. (2008) Pedagogika vysshey shkoly. Innovatsionno-prognosticheskiy kurs: ucheb. posobiye [Pedagogy of higher education. Innovative and prognostic course: textbook]. Kazan': Tsentr innovatsionnykh tekhnologiy.
2. Дьяченко М.И., Кондыбович Л.А. Психологический словарь-справочник. Мн: Харвест; М.: АСТ, 2001.
D'yachenko M.I., Kondybovich L.A. (2001) Psikhologicheskiy slovar'-spravochnik [Psychology reference
book]. Mn: Kharvest; M.: AST.
3. Преображенская Е.В., Черняева Т.Н. Определение параметров результата деятельности с позиций повышения эффективности организации образовательного процесса высшей школы // Психология обучения. 2014. № 12. С. 26 - 39. URL: http://www.edit.muh.ru/.
Preobrazhenskaya Ye.V., Chernyayeva T.N. (2014) Opredeleniye parametrov rezul'tata deyatel'nosti s pozitsiy povysheniya effektivnosti organizatsii obrazovatel'nogo protsessa vysshey shkoly [Defining the parameters of the result of educational activities in view of improving the efficiency of the educational process in higher school] // Psikhologiya obucheniya. № 12. S. 26 - 39. URL: http://www.edit.muh.ru/.
УДК 004.7
УЯЗВИМОСТИ ДОМАШНЕГО СЕТЕВОГО ОБОРУДОВАНИЯ
VULNERABILITY OF HOUSEHOLD NETWORKING EQUIPMENT
Исаков Денис Александрович
Isakov Denis Aleksandrovich
аспирант кафедры ММТ, ФГАОУ ВПО «УрФУ им. первого Президента России Б.Н. Ельцина», начальник отдела ИБ АО «Промэлектроника», г. Екатеринбург
postgraduate student at Ural Federal University, head of information security at «PROMELEKTRONIKA» JSC, Ekaterinburg
e-mail: [email protected]
В статье описываются угрозы для домашнего сетевого оборудования, а также цели, которые используются злоумышленниками при атаке на сегмент домашних пользователей. В исследовании приводятся атаки на систему аутентификации сетевых устройств, а также ошибки во встроенном программном обеспечении производителя.
Ключевые слова: угрозы, атака, перехват, аутентификация, сетевое оборудование, домашняя сеть, Интернет.
The paper describes the threats to home networking equipment as well as the goals that are used by hackers to attack a segment of home users. The paper describes attacks on an authentication system of network devices as well as errors in the embedded software.
Keywords: threats, attack, interception, authentication, network equipment, home network, the Internet.
Доступ в Интернет перестал ограничиваться только стационарным компьютером или ноутбуком. По статистике житель крупного мегаполиса использует не менее двух мобильных устройств [1], каждое из которых имеет выход в Интернет. Сегодня выход в Интернет имеют дисковые хранилища, холодильники, мульти-
варки и т.д. Все эти устройства обычно связаны в единую домашнюю сеть при помощи дешевых точек доступа Wi-Fi с разнообразным встроенным функционалом.
Разработчики данных устройств стараются сделать настройку точки доступа максимально простой и быстрой. В такой ситуации вопросы
безопасности отходят на второй план. Суровая реальность такова, что большинство пользователей не читают прилагаемые к оборудованию инструкции, придумывают легко угадываемые пароли и предоставляют возможность удаленного управления точкой доступа из Интернета.
Тема безопасности домашних сетевых устройств актуальна в связи с широким распространением данных устройств, малым количеством обучающего материала по обеспечению информационной безопасности и возможным ущербом от деструктивной деятельности злоумышленника.
В статье будут разобраны основные угрозы для сетей на базе домашнего сетевого оборудования, а также подробно описаны два вектора атак: на систему аутентификации и на встроенное программное обеспечение (ПО) устройства.
Целью исследования является демонстрация популярных уязвимостей и легкости их эксплуатации.
Основные угрозы для домашнего сетевого оборудования. Среди пользователей бытует мнение, что домашние компьютеры и сети не интересуют злоумышленников. Однако это не так. Опишем некоторые угрозы и цели, которые может преследовать злоумышленник.
Киберпреступность в XXI в. стала очень прибыльным бизнесом. Если раньше громкие взломы и утечки информации проводились силами небольшой группы, сейчас этим занимаются целые синдикаты и организованные преступные сообщества. Атаки стали носить направленный и системный характер. Очень часто под конкретную задачу и инфраструктуру создается специальное вредоносное ПО, которое не детектируется современными антивирусами с последними базами сигнатур.
Сегмент домашних пользователей привлекателен по ряду причин.
В домашних сетях нет специализированных средств обеспечения информационной безопасности (максимум самостоятельно настроенный пользователем антивирус), специалистов, ответственных за обеспечение ИБ. Таким образом, защита домашних сетей полностью ложится на плечи неподготовленного пользователя.
Злоумышленник может использовать взломанные системы как плацдарм для дальнейших действий. Например, клиентский компьютер можно использовать как прокси-сервер для сокрытия своего местонахождения.
Существует возможность продать через Интернет парк взломанных компьютеров. Примерная стоимость 1000 машин - 5 долл. В данном сегменте «черного» рынка очень жесткая
конкуренция. Цена падает, от потребителя не требуется каких-либо знаний, все управление осуществляется через удобный графический интерфейс. Это действительно MaaS -Malware as a Service.
Не стоит забывать о том, что рассылка спа-ма все еще остается прибыльным делом. В случае компрометации домашнего компьютера с высокой вероятностью учетные данные почтового ящика также достанутся злоумышленнику.
Отдельный интерес представляет личная информация пользователя, которая может быть раскрыта и использована для шантажа, продана на рынке персональных данных или использована с целью кражи финансовых активов жертвы.
Сегодня очень широкое распространение получили системы онлайн-банкинга, которые позволяют оплачивать различные услуги и приобретать товары в интернет-магазинах. Для проведения подобных платежей пользователю часто приходится или привязывать свою карту к определенной учетной записи, или заходить на веб-интерфейс интернет-банка. Несмотря на то что существуют различные алгоритмы проведения транзакций, такие как двухфакторная аутентификация с использованием СМС, отправленного на зарегистрированный в системе мобильный номер, или просто ввод CW-кода с обратной стороны карты, злоумышленник все равно имеет возможность успешно провести атаку несколькими способами.
Примеры атак на домашнее сетевое оборудование. Самый простой способ заключается в заражении компьютера пользователя вредоносным программным обеспечением типа keylogger, trojan или windows grabber. Данные типы вредоносного ПО позволяют собирать и передавать в фоновом режиме на компьютер злоумышленника последовательности нажатия клавиш, снимки экрана, содержимое буфера памяти и многое другое. Сейчас данные средства доступны для скачивания в сети Интернет. Кроме того, существуют сервисы, которые за символическую плату позволят создать свой «зловред». Обычно заражение происходит при помощи электронной почты. Отправляется письмо с привлекательным для пользователя содержимым, в него вкладывается вредоносное ПО, которое активируется при открытии пользователем вложения. Поскольку малое количество пользователей использует антивирусное ПО на домашнем компьютере, данный вектор атаки является весьма перспективным. Однако успех атаки злоумышленника зависит от действий пользователя. Без участия хозяина компьютера проведение атаки невозможно.
Существует более «элегантный» способ получения несанкционированного доступа. Сейчас домашние маршрутизаторы позволяют включить возможность удаленного управления и настройки из сети Интернет. Злоумышленник имеет два вектора атаки: перехват или подбор пароля к сетевому устройству. Для перехвата злоумышленнику необходимо находиться в одной сети с жертвой, например сети одного провайдера в многоквартирном доме. К сожалению, большинство домашних сетевых устройств не использует шифрование или хеширование аутентификационных данных при
передаче их по сети. Перехватив данные, злоумышленник может перенастроить сетевое оборудование таким образом, что пользовательские данные будут направляться через него. Здесь доступен весь возможный арсенал атак типа «человек-посередине» и DNS-poisoning.
В качестве примера выберем точку доступа фирмы Netgear WNR1000.
На рис. 1 можно увидеть вкладку, позволяющую включить доступ к панели администрирования из сети Интернет. Как мы видим, в данном случае для доступа предлагается использование протокола http.
Рис. 1. Включение удаленного управления
беспроводная сеть [Wireshark 1.1D.5 (SVN Reu 5¿262 from /trunk-1Л0)I
File Ы' View Gp Capture Analyze Statistics Tdephony Tool* Jntef rials Help
© ® ä ш л I в в s m I ч <s »sfi I [als I si о. я a I a
rater p.addf == 192.163.1.1
Time
ЙС1 "•' vy
72Л 11,8421120192,168.1.8 162.168,1
725 11. 8421830 192.168.1. В 192.168.1
744 12.0808280192.168.1.1 192.168.1
74 5 12. 0637930 192.168.1.X 192.168.1
771 12,4076720192,168.1.1 192.168,1
97 0.40049100192.168.1.8 192.168.1
102 0.41377600192.168.1.1 192.168.1
280 8.9334 5000192.168.1.8 192.168,1
283 8. 98650700 192,168.1.1 192.168.1
290 9.17652400 192.169.1. 8 192.168.1
v Expression... Protoci Ltfl ■:;*!
Clear
Apply
Save
one
ONS
DNS
ONE
one
HTTP
HTTP
HTTP
http
http
79
74 156 163 554 353 56 396 414 395
Info
■>._<■ I... I ', iijC , v^i uu H WDiiiviUkCii^Ci K . -J C1.' gILviM
standard query OxSbcff a support, netgear. com standard query 0xd574 a kb.netgear.com standard query response 0x5bdf a 206.16.44.90 Standard query response OxfSll A 206-16.44.90 Standard query response 0xd574 cname netgear-us.custhel get / http/1.1
HTTP/1.0 401 unauthorized (Text/html) GET / HTTP/1.1
http/1.0 200 ok (text/html) get /style/form.css http/i,l
S [Expert Info (chat/sequence): HTTP/1.0 401 unauthorized\r\n] Request version: ИТТР/1.0 Status code: 401 Response Phrase: unauthorized server: uhttpd/1.0.o\r\n □ate: Tfiu, 06 Mar 2014 17:18:47 (ЛI\i\n
W-Authenticate: Basic realm= "NETGCAR WNRlOOOv2"\r\n
Content-Type: text/html; charset= UTF-8"\r\n Connection: close\r\n_
_"■>/".Sir« '/A 68 &yT>e
74 69 63 61 74 65 За 20 12 61 73 69 63 20 72 65
61 6C ed 3d 22 4e 45 54 47 45 41 52 20 57 4e 52
31 30 30 30 76. 32 22 Od 0;—i—j--I—j---—Ш
0050 20 47 4d 54 0d 0. 0060 0070 0080
-4= go
Frame (56 bytes)] Reassembled TCP [503 bytes] [
О ^|ГлТР WWW-Aiitheriticate header (http.ww.~ | Packets 777. Displayed: 49S [63,8%) Propped: 0 (0.0%)
Рис. 2. Определение типа точки доступа
Теперь проанализируем трафик, передаваемый между точкой доступа и компьютером при аутентификации. На рис. 2 можно увидеть Basic realm в поле WWW-Authenticate заголовка HTTP.
На рис. 3 мы видим логин и пароль, которые передаются в открытом виде. К сожалению, подобные бреши в безопасности можно найти практически в любом домашнем сетевом оборудовании.
Во многих компаниях сейчас стало популярным делать так называемый гостевой Wi-
Fi. Как правило, «гостевая сеть» предоставляется гостям компании и обеспечивает беспроводной высокоскоростной доступ к сети Интернет без возможности доступа к сетевым ресурсам компании. Часто такие сети используют для подключения простой пароль доступа, который легко подобрать. Легкий пароль выбирается с целью упрощения ввода. Само подключение к сети не позволяет сразу получить доступ в Интернет. Для этого необходим ваучер (цифровой код). Окно для ввода ваучера показано на рис. 4.
'Беспроводная сеть [Wireshark 1.1D.5 (SVN Reu SA2bZ from /tiunk-1.Щ
File Edit View Go Capture Analyze Statistics Telephony took jntef rials Help
* ¥ й. [lal В !§.Q.€lHISS®$£I@
rater: ip.addr == 192.163.1.1
Time
r U +A:
724 11,8421120192,168.1,8
725 11.6421830192,168.1.8
744 12. 0608280 192.16E.1.1
745 12.0637930192.168.1.1 771 12,4076720192,168.1.1
97 0.40049100192.168.1.8 102 0.41377600192.168.1.1 280 8.93345000192.168.1.8 283 8.98650700192.168.1.1 290 9.17652400 192.169.1. 8 Accept: text/html , app 11 <: r: / ii: I¡1 - xnl tappl icati Accept-Language: ru-RUTru: q=0. S ten-us; q=0, 5, en; q=i Accept-Encodlng: n/"p deflate\r\n connection: keep-al1ve\r\n a Authorization: Basic YWRtETmKqN18nqxq-\r\n
в
Expression... Clear
Apply
Save
Destination
Л. i*. ■ ' ' J.
192 168.1 1
192 168.1 1
192 168.1 8
192 168.1 В
192 168,1 8
192 168.1 1
192 168.1 В
192 168.1 1
192 168.1 8
192.168.1 1
one
ONE
DNS
ONE
one
HTTP
http
HTTP
http
HTTP
79 74 156 163 554 353 56 396 414 391
on/xril; -, V ■0, 3\r\n
Info
. . >■' u , C - V—.' F* Ul/ITIIIUaLk.EIILC3 "I ' " . IwVrm
standard query 0x5bcff a support, netgear, com standard query 0xd574 a kb.netgear.com standard query response 0x5bdf a 206.16.44.90 Standard query response OicfSll A 206-16.44.90 Standard query response 0xd574 CNAME netgear-us.custhel GET / HTTP/1.1
HTTP/1.0 401 unauthorized (text/htral) GET / HTTP/1.1
http/1.0 200 ok (text/html) get/style/form.css http/i.i
; q-0. 8\r\n
fFull renuest UEI: http://192.168.1.1/1 [http request 1/1]
0130 63 if 64 69 6e 6? 3a 20
0140 66 6c 61 74 65 Od 0a 43
0150 бе за 20 6b 65 65 70 2d
0160 75 74 68 6f 72 69 7a 61
0170 73 69 63 20 59 57 52 74
0180 4e 31 38 78 51 58 51 3d
67 7a 69 70 2c 20 64 65 6f 6e 6e 65 63 74 69 6f 61 6C 69 76 65 0d 0a 41 74 69 6f 6e 3a 20 42 61 61 57 34 36 54 6d 4e 71 0d 0a Od Oa
coding: gz1p, de flate--C onnectio n: keep- alive..a uthoriza tion; Ba sic YWRt aW46T[HNq KI8:«1XQ=____
01? I Credentials (Ivttp-authbäHc)
I Packets 777. Displayed: 446163.8%) ■ Dropped: О (D.OK)
Profile Drfaull
Рис. 3. Передача учетных данных в открытом виде
Рис. 4. Поле для ввода ваучера
Рис 5. Передача ваучера в открытом виде
Однако, если соединение между клиентом и сервером, по которому передается ваучер, не защищено от прослушивания, например протоколом HTTPS [2], данные будут легко перехвачены злоумышленником, он получит доступ к сети Интернет. В данном случае значения ваучера передавалось в тексте сообщения (рис. 5).
Вторым вектором атаки является атака на устройство, его прошивку. Если устройство выпускается миллионным тиражом, даже быстрый выпуск исправления не гарантирует безопасность клиентов. Дело в том, что только малое число пользователей обновляют прошивку, а еще меньше тех, кто понимает, зачем это необходимо делать регулярно.
Для примера можно рассмотреть уязвимость CVE-2014-9583, которая позволяет удаленно обойти аутентификацию и выполнять произвольные команды в маршрутизаторах ASUS RT-N66U с версией прошивки 3.0.0.376.2524 [3]. Уязвимость получила максимальный рейтинг опасности. Для успешного проведения атаки злоумышленнику надо было находиться в локальной сети маршрутизатора. Прошивка сетевого устройства часто построена на базе Linux с запущенным веб-сервером для конфигурирования. В данной модели маршрутизатора также была запущена служба обнаружения локальной сети infosrv, работающая под правами суперпользователя (root). Данный сервис слушает UDP порт 9999. Эта служба используется для облегчения конфигу-
рации маршрутизатора путем автоматического обнаружения других маршрутизаторов в локальной сети. На этот порт отправляется пакет, в теле которого содержатся команды для выполнения через NET_CMD_ID_MANU_ CMD. Из-за неправильной обработки значения MAC-адреса (использовалась небезопасная функция копирования памяти memcpy) команды выполняются на маршрутизаторе [4]. Единственное ограничение - это длина команд (не более 237 символов). В случае переполнения маршрутизатор уходит в аварийную перезагрузку. Готовый эксплойт опубликован [5].
Подобного рода уязвимости находятся не в первый раз и не у одного вендора домашнего сетевого оборудования. Если от первых двух атак можно защититься включением H^TPS, где это возможно, в данном случае только использование альтернативных прошивок, которые не являются форком встроенного ПО производителя, могло обезопасить от такой атаки.
Заключение. В данной статье были разобраны примеры атаки на сетевое оборудование и используемые протоколы. Легкость атаки, минимальные шансы на обнаружение и преследование - все это делает домашнюю инфраструктуру лакомым куском для злоумышленников. Большинство проблем, связанных с безопасностью сетевого оборудования, можно возложить на производителя, ведь многие уязвимости можно было бы исключить еще на этапе проектирования и разработки. Но повы-
шение уровня безопасности повлечет за собой дополнительные траты на разработку, рост цен и увеличение срока выпуска продукции, что на жестком рынке сетевого оборудования является недопустимой роскошью. Вероятно, что усложнится и настройка сетевого оборудования, потребитель может выбрать менее безопасный, но более простой в настройке маршрутизатор.
Таким образом, одним из выходов является повышение грамотности пользователей в области информационной безопасности через СМИ, а также на их местах работы. Демонстрация эксплуатации уязвимостей и последствия от их деструктивного воздействия в режиме реального времени способна заинтересовать пользователя, позволит не стать ему легкой целью для злоумышленников.
Библиографический список (References)
1. The Multiscreen World // consumerbarometer.com. URL: https://www.consumerbarometer.com/en/ insights/?countryCode=RU (дата обращения - 12.01.2015).
2. RFC 2818 «HTTP over TLS».
3. CVE-2014-9583 // cvedetails.com. URL: http://www.cvedetails.com/cve/CVE-2014-9583/ (дата обращения - 14.01.2015).
4. ASUS Router infosvr UDP Broadcast root Command Execution // github.com. URL: https://github.com/ jduck/asus-cmd (дата обращения - 15.01.2015).
5. ASUSWRT 3.0.0.4.376_1071 - LAN Backdoor Command Execution // exploit-db.com. URL: http://www. exploit-db.com/exploits/35688/ (дата обращения - 15.01.2015).