Wi-Fi: заразись и передай  другому

 

29 Июль 2015, 11:09


Как известно, предпочтение при выборе цели для атаки, в том числе компьютерной, отдается наименее защищенному объекту. Переосмысливая слоган «лучшая защита — это нападение», специалисты по безопасности компьютерных систем время от времени придумывают новые концептуальные разработки, раскрывающие не используемые пока массово векторы атаки.
Основы теории самовоспроизводящихся механизмов заложил американец венгерского происхождения Джон фон Нейман, который в 1951 году предложил метод создания таких механизмов. Первой публикацией, посвящённой созданию самовоспроизводящихся систем, является статья Л. С. Пенроуз в соавторстве со своим мужем, нобелевским лауреатом по физике Р. Пенроузом, о самовоспроизводящихся механических структурах, опубликованная в 1957 году американским журналом Nature.

В этой статье, наряду с примерами чисто механических конструкций, была приведена некая двумерная модель подобных структур, способных к активации, захвату и освобождению. По материалам этой статьи Ф. Ж. Шталь (F. G. Stahl) запрограммировал на машинном языке ЭВМ IBM 650 биокибернетическую модель, в которой существа двигались, питаясь ненулевыми словами. При поедании некоторого числа символов существо размножалось, причём дочерние механизмы могли мутировать. Если кибернетическое существо двигалось определённое время без питания, оно погибало.
Первые вредоносные программы не случайно стали называть биологическими терминами — вирус и червь. Тем самым подчеркивалось их основное свойство: самораспространение. Бурное развитие разработок вредоносного кода привело к зарождению антивирусной индустрии. Как результат, компьютеры конечных пользователей оказались более-менее защищены. Классические пути распространения вредоносных программ — заражение других программ (этим занимаются компьютерные вирусы), заражение через уязвимости сетевых сервисов операционных систем или заражение через съемные накопители информации (так ведут себя компьютерные черви).
Исследователи из Великобритании продемонстрировали новый путь распространения самокопирующихся вредоносных программ — посредством заражения точек доступа Wi-Fi. Для проверки идеи беспроводного заражения команда энтузиастов из Школы электротехники, электроники и компьютерных наук при Ливерпульском университете во главе с профессором сетевой безопасности Аланом Маршаллом (Alan Marshall) создала прототип вредоносного кода, названный Chameleon. Технические подробности не раскрываются, но в общем виде алгоритм работы Chameleon’а следующий.
Сначала формируется список точек доступа в радиусе доступности, при этом они должны удовлетворять некоторым требованиям: использовать слабое шифрование (или вообще не использовать), а также представлять собой устройство, способное перепрограммироваться прошивкой OpenWRT (компактная операционная система на базе Linux, поддерживающая большинство популярных моделей Wi-Fi-роутеров). Затем взламывается криптографическая защита точки доступа, определяются и сохраняются текущие настройки. В итоге оригинальная прошивка точки доступа заменяется вредоносной, основанной на OpenWRT, загружаются сохраненные ранее настройки, а вредоносный код распространяется на следующие устройства.
Разработка и тестирование Chameleon — только часть научной работы. Для оценки скорости его распространения в условиях реального города было проведено компьютерное моделирование. В качестве исходных данных использовалась информация о действующих точках доступа в двух городах — Белфаст и Лондон, застройка и насыщенность беспроводными роутерами которых можно принять за среднюю по Европе. Результаты моделирования показали, что для покрытия всех точек в Лондоне требуется 4288 дня с итоговым показателем заражения 6,9%.
Как видно, распространение Chameleon — достаточно медленный процесс, что, тем не менее, не исключает вероятности появления подобного класса вредоносных программ. В исследовании подчеркивается, что основной проблемой является отсутствие возможности обнаружения такого заражения текущими версиями систем защиты от вторжений, которые настраиваются на обнаружение подставных точек доступа, а не выявление аномалий поведения уже имеющихся точек. В исследовании представлены способы обнаружения вируса Chameleon с помощью мониторинга Wi-Fi-пакетов и статистической обработки передаваемых данных.
Более вероятным видится появление гибридных вирусов, использующих как традиционные каналы распространения через Интернет и локальные вычислительные сети, так и способы самокопирования в Wi-Fi-устройства. Уже сейчас имеются примеры использования уязвимостей роутеров для создания из них средств подмены контента и кражи авторизационных данных. Из последних «находок» можно вспомнить обнаружение специалистами компании Team Cymru сети из взломанных домашних роутеров, общее количество которых превышало 300 тыс. устройств. Потенциально атакующие могли получить полный контроль над интернет-трафиком пользователя, а также заражать его компьютер вредоносным программным обеспечением. В качестве примера можно привести факт обнародования компанией Rapid 7 год назад сведений, что порядка 50 миллионов сетевых устройств потенциально уязвимы к атакам протокола UPnP (Universal Plug and Play), который включен по умолчанию в большинстве случаев.
Последнее исследование компании Tripwire, проведенное в этом году, показало, что 80% из 25 самых продаваемых в Amazon моделей беспроводных маршрутизаторов, которые эксплуатируются рядовыми пользователями и небольшими компаниями, уязвимы для хакерских атак. По данным Tripwire, 30% экспертов в области информационных технологий и 46% рядовых пользователей даже не изменяют пароль администратора, установленный в устройстве по умолчанию.
 

Встроенные уязвимости сетевого оборудования: скандалы продолжаются

Очередной громкий скандал разразился после того, как в конце марта текущего года Эдвард Сноуден, экс-сотрудник компании-контрактора Агентства национальной безопасности США, предоставил журналистам документы, согласно которым АНБ хозяйничало в компьютерных сетях китайской корпорации Huawei Technologies. Информация нанесла удар по престижу этого бренда: Huawei вырвалась на второе место после знаменитой американской компании Cisco Systems в качестве производителя сетевого оборудования, угрожая лидерству последней. К тому же компания занимает третье место по мировым продажам смартфонов после Samsung и Apple. Официальный представитель МИД Китая потребовал прекратить незаконный доступ к корпоративным данным и дать объяснение этому инциденту.