Держите эти лазейки закрытыми!
Я всегда был чрезмерно очарован черными дверями. Я часто задаюсь вопросом, что скрывается за ними, когда я прогуливаюсь по улочкам в центре города (хотя в эти дни в основном в моем воображении). Куда они ведут? Они заблокированы? За ними следит камера слежения? Возможно, у меня есть скрытые преступные наклонности; более вероятно, что это всего лишь 8-летний мальчик, который все еще прячется глубоко внутри меня.
Предприятиям, конечно, необходимо обеспечить надлежащую защиту задних дверей своих зданий, если они хотят предотвратить кражу или вандализм. Надежная задняя дверь может означать либо запертую, либо ту, за которой следит видеокамера. Или и то, и другое, если вы параноик — а у бизнеса есть веские причины быть параноиком в наши дни. Это потому, что бэкдоры (мы будем использовать здесь составное слово, потому что мы переходим в технический режим) в последнее время, кажется, распространяются. Кажется, что все больше и больше вычислительного оборудования и программного обеспечения поставляются со встроенными бэкдорами при их покупке. Эти бэкдоры могли быть включены по инициативе поставщика или из-за какого-то секретного требования теневого государственного агентства. В любом случае они могут представлять опасность для компаний из-за вторжений и утечки информации, которые они могут облегчить.
Конечно, в шпионаже нет ничего нового. Будь то промышленный шпионаж или нации, шпионящие за другими нациями, шпионаж происходит по крайней мере со времен древних греков (PDF). Поэтому неудивительно, что это происходит сегодня, когда в мировой технологической индустрии происходит беспощадная конкуренция. Давайте кратко рассмотрим, что происходило с бэкдорами за последние несколько лет, чтобы мы могли получить представление о масштабах этой угрозы и подумать, как мы можем реагировать на такие угрозы как владельцы бизнеса и специалисты по технологиям.
Каталог АНБ АНТ
В 2013 году немецкий журнал Der Spiegel опубликовал разоблачительную статью об обнаружении внутреннего каталога АНБ, в котором говорилось, что секретные бэкдоры уже существуют во многих корпоративных сетевых устройствах. Среди вовлеченных технологических компаний были крупные игроки отрасли, такие как Juniper, Cisco, Dell и многие другие, и история была основана на документах АНБ, предположительно полученных бывшим подрядчиком АНБ Эдвардом Сноуденом. Однако в статье Википедии на эту тему упоминается, что «в документе нет ничего, что указывало бы на то, что компании были замешаны в этом», но многие ИТ-менеджеры и директора предприятий все еще ломают голову над тем, что все это может на самом деле означать для них и бизнеса, которым они занимаются. управлять и работать. Создавали ли другие правительства аналогичные наборы инструментов? Могут ли они быть доступны в Даркнете? И производят ли сами крупные сетевые поставщики аналогичные инструменты для взлома продуктов конкурентов, вставляя в эти продукты бэкдоры, подобные разработанному АНБ инструменту DEITYBOUNCE, который устанавливает бэкдор-программу на серверы Dell PowerEdge через BIOS материнской платы и RAID-контроллер?
Китайские ИТ
Во многих отношениях Китай стал производителем для всего мира. Хотя большинство китайских технологических компаний, вероятно, столь же честны в своих отношениях, как и американские и европейские (что бы это ни значило), неудивительно, что некоторые китайские компании случайно или преднамеренно переходят черту. Тем не менее, это все еще было новостью, когда охранная фирма Kryptowire недавно обнаружила, что некоторые модели мобильных устройств Android, произведенные Huawei, имеют прошивку, которая собирает личные данные пользователей без их согласия и пересылает их на серверы где-то в Китае.
Юрист, представляющий Huawei, сообщил The New York Times, что прошивка была произведена частной компанией Adups, которая «допустила ошибку», и что Huawei никоим образом не шпионила за гражданами США от имени правительства Китая. В то время как некоторые технические новостные агентства сообщали, что бэкдор затронул сотни тысяч мобильных телефонов, другие сайты, такие как The Hacker News, утверждали, что проблема может затронуть до 700 миллионов пользователей по всему миру (а позже за этим последовали еще более плохие новости).
Независимо от реального масштаба проблемы, она, безусловно, привлекла внимание многих ИТ-менеджеров к возможным рискам использования оборудования, произведенного в Китае, и программного обеспечения, разработанного китайскими компаниями. Эти риски подробно обсуждаются в следующей проницательной статье TechTarget Джоэла Снайдера.
SCADA
SCADA расшифровывается как Supervisory Control and Data Acquisition и относится к программному обеспечению, используемому в промышленных и военных целях для управления технологическими процессами, сбора данных в реальном времени и управления оборудованием и условиями окружающей среды. Потенциальные опасности взлома компонентов системы SCADA хорошо показаны в первых сценах фильма «Черная шляпа» режиссера Майкла Манна. Могут ли SCADA-системы иметь лазейки? В этой статье от SCADAWIZ рассказывается о недавнем обнаружении бэкдора в оборудовании промышленной сети под управлением Rugged Operating System (ROS), производимом дочерней компанией Siemens. Как и многие бэкдоры, представленные поставщиками, этот мог быть создан исключительно для целей внутреннего тестирования на этапе разработки, а затем был забыт, когда был выпущен окончательный продукт. Но бэкдоры в продуктах SCADA могут иметь разрушительные последствия, если их использовать, как это ясно показано в ранее упомянутом фильме.
Майкрософт
Работая со многими талантливыми инсайдерами в Microsoft на протяжении многих лет в качестве автора и редактора ряда книг Microsoft Press и нескольких других издателей, я могу честно сказать, что испытываю огромное уважение к тому, насколько серьезно Microsoft относится к безопасности, когда речь идет о их продуктах. и услуги. Тем не менее, ошибки случаются, как недавно сообщили Wired, отметив, что в их прошивке Secure Boot в Windows 8 и более поздних версиях был оставлен бэкдор, чтобы разработчики могли использовать его для тестирования своего программного обеспечения на соответствие реализации Microsoft стандарта Secure Boot.. Затем Microsoft «слила» ключи к этому бэкдору, и корпоративные клиенты отреагировали паникой, поскольку это означало, что любое устройство Windows, защищенное Secure Boot, могло быть разблокировано хакерами.
Весь этот фиаско является отличным примером того, как поставщики программного обеспечения и микропрограммы должны установить четкие руководящие принципы в своих процессах разработки, чтобы гарантировать, что все без исключения «обходные пути» (черные каналы или лазейки), используемые для целей внутреннего тестирования, должны быть четко идентифицированы и удалены до того, как продукты будут выпущены. выпущен в производство. Конечно, Microsoft сразу же попыталась успокоить ситуацию, заявив, что техника джейлбрейка, указанная в отчете исследователей безопасности, «требует физического доступа и прав администратора к устройствам ARM и RT и не ставит под угрозу защиту шифрования», но кто не оставил свой планшет или смартфон, оставленный без присмотра на несколько мгновений в кафе, и в конечном итоге его украли?
Как ответить
Я мог бы продолжать и продолжать приводить примеры бэкдоров, обнаруженных в вычислительном и сетевом аппаратном и программном обеспечении, но давайте закончим здесь, задав простой вопрос: что я могу сделать, чтобы защитить свой бизнес от таких бэкдоров? Ответ, конечно же, заключается в том, что не существует секретной таблетки, которая излечит или вылечит все закулисные болезни. Вместо этого вам нужно подумать о том, чтобы вести здоровый образ жизни, чтобы в первую очередь не заразиться такими заболеваниями.
Путь к такому здоровому образу жизни прост. Во-первых, знайте риски. Эта статья является отправной точкой для повышения вашей осведомленности о бэкдорах в информационных технологиях. Во-вторых, быть в курсе. Подпишитесь на списки рассылки авторитетных наблюдателей за безопасностью, таких как US-CERT, а не просто подписывайтесь на их оповещения. Каждую неделю выделяйте определенное время для их чтения, даже если это всего 15 минут. Наконец, держите вещи в перспективе. Существует много других рисков, с которыми сталкивается ваш бизнес, помимо бэкдоров, поэтому периодически встречайтесь со специалистами в вашей организации или отделе и перечисляйте все риски, которым может быть подвержена ваша компания, и расставляйте их приоритеты, а затем решайте их в соответствии с тем, как вы расположили их приоритеты.
И не забудьте выделить время, чтобы поиграть в гольф на выходных. Когда вы придете на работу в понедельник и откроете папку «Входящие», это будет иметь огромное значение.