今週の2つの人気ニュースは、特に脆弱性の深刻度を評価し、一般的にソフトウェアまたはハードウェアのセキュリティを決定するという重要なトピックを提起します。 順番:10月3日、SSLMateサービスの創設者であるAndrew Iyerがsystemd初期化デーモンの脆弱性を報告しました( news 、 Ayerのオリジナル投稿 )。 サービス拒否などの脆弱性はローカルでのみ悪用されます。 NOTIFY_SOCKET = / run / systemd / notify systemd-notify“”コマンドを入力したユーザーは、システムをサスペンドできます。 バージョン209以降、長さがゼロのメッセージの誤った処理によって引き起こされ、既に閉じられているバグがsystemdに2年間存在していました。
多くの比較例( Shellshockなど、または同じHeartbleed )があるため、これは世界で最も恐ろしいバグとはほど遠いものであると確信できます。 それにもかかわらず、問題の議論は大規模であることが判明しました。 その理由は、バグのアクセス可能な説明にあります:「1つのツイートに収まるメッセージでシステムを中断できます。」 そして、パンテオンのCTOの鋭い反応で、積極的にsystemdをサポートしています。 さらにどこでも、systemdの作成者の性格についての新しいラウンドの議論まで(私は彼に名前を付けません。そうでなければ、ここから始まります)。
一般に、彼らは、バグ自体ではなく、実際にはそれほど深刻ではないものの、何でも議論しました。 これは本当に重要なトピックです。彼らは脆弱性によって製品の品質を判断しようとします。 このアプローチの典型的な例は、最大数のホールが検出されたソフトウェア評価です。 私は自分の解釈を提供しようとします:脆弱性はほとんどの場合、単なる脆弱性であり、問題を検出するだけではソフトウェアやハードウェアを認定しません。 そして、この声明を正当化するために、D-Linkルーターについて議論する必要があります。
研究者は、D-Link DWR-932Bルーターに20の脆弱性を発見しました
ニュース 。 研究
研究者のPierre Kimは、D-Link DWR-932Bルーターのセキュリティ分析を実施しました。 このルーターは、4Gモデムが組み込まれたポータブルデバイスです。 この調査の結果、デバイスの保護は、理想とはほど遠いことがわかりました。 著者はもっと率直に話し、単にそのようなデバイスを取り除くことを提案します-彼らは言うべきことはありません。 脆弱性の詳細は上記のリンクで見ることができます、私は簡単に絞ります:
-telnetおよびsshがデフォルトで利用可能な場合のビルトイン管理者パスワード
-パスワードなしでデバイスを制御できるバックドア
-WPS接続の有線デフォルトPIN
-予測可能なアルゴリズム(現在の時間に基づく)によるPIN生成。 所有者がまだWebインターフェイスで生成手順をアクティブにしている場合は実際、そうでない場合は前の段落を参照
-何らかの理由で、No-IPサービス(動的DNS)のアカウントがファームウェアに組み込まれています
-Webインターフェースのさまざまな脆弱性
-デフォルトの有線パスワードを使用したサーバーでの認証中に、HTTP経由で更新をダウンロードする(HTTPS接続は提供されますが、証明書の有効期限が切れています)
-uPnPプロトコルの安全でない実装
Pierre Kimの主張は次のとおりです。ルーターを使用すると、ファームウェアを交換するまで、好きなことを実行できます。 制御を奪う方法は他にもあるため、後者は必要とは考えられません。 このニュースは、Kimの研究の興味深い背景を提供し(D-Linkは研究者の最初の「犠牲者」ではありませんでした)、特に廃止モデルに関してルーター開発者が直面する困難の例を示しています。 この場合、ちなみに、D-Linkは同じことを言っていますが、モデルは会社のWebサイトで関連するものとして指定されています。
論文に戻ります。 ほとんどの場合、脆弱性は単なる脆弱性であり、ソフトウェアやデバイスを特徴付けるものではありません。 情報セキュリティの現代の現実では、バグがまったくないソフトウェアを作成することはできません。 セキュリティの観点から見たベンダーの説明は、企業が脆弱性に関する情報にどのように対応するか、および脆弱性をどれだけ迅速かつ効率的に閉じるかで構成されます。 いずれにせよ、ソフトウェア、サービス、デバイスをこれらの基準で評価するための統一されたルールはありません。
しかし、それはいいだろう。
OneTouch Pingインスリンポンプのリモートコントロールの脆弱性が検出されました
ニュース 。 Rapid7 研究 。
最後に、研究者、ベンダー、さらには州の規制当局との相互作用のより楽観的な例で締めくくります。 理由は、率直に言って、気のめいるようですが。 Rapid7は、Johnson&Johnsonの一部門であるAnimas Corp.のOneTouch Pingインスリンポンプに脆弱性を発見しました。 インジェクターとリモートコントロール間の相互作用の安全でないプロトコルにより、医療機器のパラメーターを変更できます。
リモートコントロールとポンプは、900 MHzの周波数で無線で通信し、接続時にキーを交換しますが、アルゴリズムが十分に保護されていないため、制御を傍受し、少なくともデバイスのステータスに関する送信された情報を解読できます。 より簡単な方法があります。Rapid7は、法的コンソールとポンプ間の通信をリプレイすることからデバイスが保護されていないことを発見しました。 つまり、実際のコンソールからインスリンの投与量を増やすコマンドが送信され、「偽の」インスリンからコマンドが繰り返されると、理論上は薬物の過剰投与の可能性がある攻撃が可能になります。
研究者とベンダーの両方は、実際に攻撃を使用する可能性は小さいと主張しています。 これを行うには、デバイスの所有者の近く(約3メートル)にいる必要がありますが、少なくとも1キロメートルは、より強力な送信機によってデータの繰り返し再生を正常に実行できます。 製造元は、リスクを排除するための推奨事項を顧客に送信し始めました。原則として、リモート制御機能を無効にすることができます。 さらに、薬の投与量が安全な限界を超えたときに警告をプログラムすることができます。
ポンプにはインターネット接続がないため、脆弱性をすぐに完全に排除することはできません(そして、おそらく接続しないのは良いことです)。 調査会社(4月に問題を発見したが、情報を今だけ開示した)とベンダーの行動は、規制当局(米国の州機関食品医薬品局)によって積極的に評価されました。 比較のために、医学の脆弱性の研究に対する誤ったアプローチの例を挙げることができます。 今年の夏、MedSecはペースメーカーに脆弱性を発見しましたが、何らかの理由でメーカーに情報を公開せず、データを公開した投資会社に情報を公開しました(今では皆が絶望的に訴訟に巻き込まれています)。
参照の安全性が確実に必要な場合、それは医療機器にあります。
他に何が起こった:
ヤフーは、米国のintelligence報機関(郵便通信の大量監視)にpしていると非難されています。 今週で最も注目を集めたニュースですが、実際の事実や他人からの証拠はありません。
2週間前に発生した最も強力なDDoS攻撃の1つは、実際にはIoTデバイス(特にWebカメラ)のボットネットによって実行されました。 そして、誰かが脆弱なデバイスを自動的に検索してハッキングするために使用するソースコードを投稿しました 。
古物
「Stone-Sex-a、-b」
ディスクはアクセス時に影響を受けます(int 13h、ah = 2、3)。 変化するセクタの古い内容(フロッピーディスクのブートセクタとハードドライブのMBR)をフロッピーディスクの場合は1/0/3(ヘッド/トラック/セクタ)または0/0/8(0/0/7、バージョンに応じて)に保存しますウイルス)ハードドライブ用。 1/3の確率で感染したフロッピーディスクから起動する場合:
「Stone-Sex-a」-「EXPORT OF SEX REVOLUTION ver。 1.1 "
「Stone-Sex-b」-「EXPORT OF SEX REVOLUTION ver。 2.0 "
Eugene Kaspersky著の本「MS-DOSのコンピューターウイルス」からの引用。 1992年。 98ページ
免責事項:このコラムは、著者の個人的な意見のみを反映しています。 カスペルスキーの位置と一致する場合もあれば、一致しない場合もあります。 ここは幸運です。