Санитары леса
Автор
Илья Медведовский
Беда сегодняшнего мира в том, что мы все, как страусы, живем головой в песке, тем самым обретая в незнании мнимое спокойствие
Мы постоянно сегодня слышим: хакеры сломали то, хакеры сломали это, найдена уязвимость в таком-то продукте, взломана такая-то электростанция. Так ли это? Действительно ли сегодня мир ИТ настолько незащищен, как может показаться из выпуска новостей?
Mы давно привыкли, что все, прочитанное в СМИ, надо делить на 10 и тогда результат будет близок к истине. На самом деле парадокс в том, что реальная ситуация гораздо хуже, чем можно судить по информации, найденной в Интернете. Даже регулярные апокалиптические прогнозы антивирусных компаний не более чем вершина айсберга. Сегодня мы наблюдаем крайне забавную картину. С одной стороны, информационные технологии, используемые повсеместно вкупе с всеобщей мобилизацией и интернетизацией, приводят к появлению, казалось бы, невероятных прежде вещей: удаленный доступ к системам АСУ ТП — пожалуйста; администрирование банковского сервера из дома — нет проблем; словом, даже самые невероятные примеры обретают реальность. С другой стороны, в этом случае информационная безопасность должна бы становиться приоритетом как для вендоров, так и для компаний, но парадокс в том, что этого нет. В самом деле, все происходит с точностью до наоборот: в погоне за функциональностью и в пылу конкурентной борьбы безопасность многих продуктов катастрофически падает и число найденных критичных уязвимостей растет, хотя все крупные вендоры так или иначе вынуждены уделять защите внимание. Почему же вендоры изначально не были заинтересованы в безопасности своих продуктов и сейчас пытаются тушить разрастающийся пожар?
Проблемы утопающих дело рук самих утопающих
Посмотрим на историю проблемы. Еще со времен выхода своей первой популярной операционной системы MS DOS компания Microsoft, остающаяся до сих поры главным мировым вендором, приучила всех к тому, что лицензия на программный продукт покупается на условиях AS IS (как есть), в отличие от остальных товаров. Значит, что бы ни произошло с программным продуктом, — это сугубо пользовательская проблема. А что? Удобно. Дело в том, что вендор не продает тебе товар, а лишь передает право на его использование согласно лицензии. Мы давно привыкли и воспринимаем ситуацию нормально, когда у нас ломается автомобиль - мы просто отдаем ключи специалисту гарантийной мастерской или в особо запущенном случае подаем в суд на производителя — и это становится его проблемой. А в случае софта — проблема всегда наша. Вас сломали из-за уязвимости в софте и вы потеряли миллионы долларов — ответ вендора традиционен: «Спасибо за информацию, мы изучим вашу проблему и постараемся выпустить патч как можно скорее (если поймем, что же именно произошло, что вряд ли)». Расскажи это обывателю, далекому от ИТ, — он рассмеется в лицо и добавит: «Да не может такого быть». Может. Это наши будни.
Соответственно, такая позиция всех вендоров, которые согласно лицензии любезно разрешали использование софта и при этом не несли никакой ответственности, в принципе не могла их заставить интересоваться безопасностью своих продуктов. А зачем? Ведь это удлиняет срок выхода продукта и серьезно удорожает всю разработку. Однако сегодня ситуация изменилась и вынуждает всех крупных вендоров так или иначе заниматься безопасностью. Что же произошло?
Казалось бы, на этот вопрос можно сразу же дать вполне предсказуемый ответ: вендора заставляют заняться безопасностью хакеры, которые, как волки — санитары леса, ищут уязвимости в его продуктах. Но все это не совсем так, а с точки зрения вендора — совсем не так, хотя уязвимости, безусловно, и являются первопричиной.
Конечно, крупные заказчики — это главное обстоятельство. Только они способны изменить отношение вендора к безопасности своих продуктов. Правда, не всегда, но это уже другая история. Итак, обратившись к собственному опыту сотрудничества с различными вендорами, рассмотрим, как же все работает в общем случае.
Как сдвинуть гору?
Надо четко понимать, что любой крупный вендор из первой пятерки — это гора, сдвинуть которую зачастую совершенно невозможно. Хакеры и найденные ими уязвимости — как комары, которые кусают, но вреда не причиняют. Вендоры боятся только одного — шума в прессе. Массового, длительного и постоянного. Разовый шум их совершенно не волнует. Когда шум становится перманентным — на него начинают обращать внимание крупные заказчики вендора и задают ему неприятные вопросы: это что, дескать, получается, мы тратим многие миллионы евро на ваш продукт, а он дырявый как решето? Пиар-служба вендора старается максимально нивелировать волну недовольства ключевых клиентов, выстраивая свою «плотину» так, чтобы волна не дошла до «топов» вендора. Но пиар не всесилен. Когда волна регулярно, причем длительно время, переливается через край плотины возможностей пиар-службы — чаша терпения «топов» вендора переполняется и (бинго, победа!) вендор начинает обращать внимание на безопасность своих продуктов. Конечно, все происходит очень постепенно из-за огромной инерции вендора. Вспомним для примера, как в начале 2000-х Билл Гейтс, устав от многолетних упреков Microsoft по поводу безумной дярывости их решений, объявил эру безопасности, в итоге значительно улучшив уровень защиты продуктов компании. Точно так же, только с разницей в 10 лет, это, в частности, произошло и с SAP.
Но достичь уровня «просветления» Microsoft в области безопасности способны далеко не все даже из первой пятерки мировых вендоров. Это очень долгий путь, и всем остальным топовым вендорам по нему еще идти и идти... И далеко не факт, что в итоге они смогут приблизиться к лидеру. Потому что, объективно говоря, та ниша, которую почти монопольно занимает Microsoft, традиционно является зоной первого удара — компании всегда гарантировано внимание хакеров всего мира. Остальные вендоры, с точки зрения массовости, находятся в траншеях второго, третьего и далее эшелонов. Им объективно и проще, и сложнее одновременно. Проще — их ломает далеко не каждый хакер, так как часто их просто очень трудно найти (например, SAP, контроллеры, MES-системы и т. п.). Сложнее — у вендора гораздо меньше мотивации и жизненной необходимости выйти на уровень лидеров. В любом случае вендору, серьезно занявшемуся безопасностью своих продуктов, требуется масса времени, сил и средств, чтобы развернуть процесс в нужную сторону и добиться положительной динамики в данном вопросе.
Пришел, увидел, победил
Не секрет, что процесс закрытия уязвимостей крайне сложен и дорогостоящ. Но далеко не все представляют насколько. Например по оценкам Microsoft стоимость затрат на закрытие одной критичной уязвимости составляет от $1 млн. долларов. По опыту работы с различными вендорами, особенно когда речь идет об архитектурных уязвимостях, можно сказать, что срок их закрытия достигает даже нескольких лет. В частности, приведу пример с JD Edwards (теперь это Oracle). В свое время, в 2010-м в процессе исследований мы нашли совершенно потрясающую воображение уязвимость в этой ERP-системе, связанную с аутентификацией... на клиенте! Это примерно как ты приходишь в банк и говоришь менеджеру:
— Привет, я Ротшильд!
— Да? Ты точно Ротшильд?
— Да точно, отвечаю!
— Ок, проходи. Вот это — твои деньги.
Как вы думаете, что нам сказал вендор, узнав про уязвимость? Его ответ был, как обычно, прекрасен: «Это не бага, это фича, связанная с особенностями архитектуры (да ладно!?), но вы не могли бы пока не раскрывать ее технические детали (да ладно, но ведь это же «фича»!?)».
А как вы думаете, сколько компания Oracle (купившая JD Edwards) потом закрывала данную более чем критичную уязвимость, которая присутствовала в решении, установленном в массе компаний из TOP-500 Fortune? Два с половиной года! И только в 2013-м мы с разрешения Oracle опубликовали технические детали той самой уязвимости.
Второй пример АСУ ТП, а именно — промышленный протокол и датчики HART. В прошлом году, после почти двенадцатимесячной работы, мы закончили масштабное исследование, выявившее массу серьезных уязвимостей в датчиках и протоколе HART, позволяющих как получить удаленный контроль над технологическим процессом, так и атаковать через датчики MES-системы и даже корпоративную сеть. Надо заметить, что указанные датчики широко используются на критичных промышленных объектах по всему миру. По словам одного из вендоров ориентировочно они смогут внести исправления примерно через год, во что я, правда, не верю, все-таки речь идет об устройствах и это крайне не просто.
А кто самый защищенный?
Тот, кто пишет единичный, не отчуждаемый продукт именно для себя и под себя и понимает, что работает в агрессивной хакерской среде. Тот, чей бизнес на 100% зависит от НЕдырявости используемого софта. Западные онлайн-игры тому прекрасный пример. Вы знаете, что серьезная онлайн-игра, особенно та, которая в России работает по лицензии западного разработчика, обычно защищена на порядок лучше практически любого интернет-банкинга! Парадокс? Отнюдь. Особенно если задуматься. Причин тому масса:
• Банки боятся ломать; игры — ломают все кому не лень.
• Аудитория банков на 99,9% лояльна и в возрасте; аудитория игр — агрессивна, молода и склонна к авантюрам.
• Банки часто применяют массовый софт вендора, которому до проблем данного конкретного банка нет никакого дела; владельцы игры используют свой софт, и их бизнес жизненно зависит от качества этого софта. Кстати, особенно забавно выглядит ситуация, когда вендор больше и богаче банка — попробуй надави на такого.
Поэтому если задуматься, то ничего в этом удивительного нет. Нам не так часто доводилось тестировать защищенность зрелых западных онлайн-игр, но то, что мы видели на практике, на 100% подтверждает указанный выше тезис.
Что же делать?
Понимать, что вы один на один с вендором и проблемы утопающих дело рук самих утопающих. Поэтому только пентест и постоянный мониторинг защищенности, чтобы знать, что именно у вас происходит, и пытаться контролировать и исправлять ситуацию. Кстати, наша практика показала, что найденный в процессе аудита у заказчика 0-day в продукции топового вендора гораздо быстрее исправляется тогда, когда, на удивление вендора, эта информация идет от заказчика (а не от нас). В таком случае она может дойти практически до самого верха компании-вендора. В случае же банков — у них вообще нет вариантов, кроме как обеспечивать путем пентеста постоянный контроль над своими ключевыми системами, и прежде всего ДБО и АБС. Если же посмотреть на ситуацию несколько шире, с государственной точки зрения, вспомнив про того же Сноудена и про 100%-ную зависимость от американских вендоров, то сегодня буквально сам собой формулируется главный принцип, по которому мы, как государство, должны начинать жить как можно раньше, чтобы не потерять окончательно суверенитет:
Меня радует, что принцип «проверяй чужое, создавая свое» сегодня уже активно начинает реализовываться на практике. Кстати, если уж я затронул тему откровений Сноудена, то нашему большому бизнесу и государственным корпорациям не стоит заблуждаться, считая, что это проблема сугубо государства и его спецслужб (хотя правда — проблема масштаба страны) и это их вообще не касается. Из истории возникновения американских спецслужб известно, что они всегда стояли на страже интересов крупнейших бизнес-структур США. Поэтому еще большой вопрос, как, почему и, возможно, на основе какой и как добытой информации сорвались в свое время стратегически важные для России сделки: Сбербанк — Opel, Северсталь — Arcelor.
***
Беда сегодняшнего мира в том, что мы все, как страусы, живем головой в песке, тем самым обретая в незнании мнимое спокойствие. Но даже единицы «просветленных», знающие реальную ситуацию, также предпочитают не задумываться, что можно сделать даже небольшой командой сильных профессионалов. Осуществить массовую атаку на банковскую систему РФ — легко; атаковать телекоммуникационную систему в масштабах страны — проще простого. Список можно продолжать до бесконечности. И для этого не нужна бригада хакеров из состава американского киберкомандования — что сегодня она способна сделать при желании, лучше и не задумываться. Недаром среди безопасников ходит крылатая фраза, что если бы строители возводили дома так, как у нас программисты пишут программы, то один залетный дятел одним клевком разрушил бы целую цивилизацию. И главная беда здесь в том, что это вовсе не преувеличение...
Опубликовано 21.03.2014