החטא הקדמון של אי-התקנת פאטצ'ים

קודם תקראו את הכתבה בגלובס בשם "פרצת מידע בישראל: ניתן לחדור למצלמות אבטחה של מוסדות שונים". גיא מזרחי, אותו אני מאוד מעריך, משום מה התלהב מכך. ורפי איבגי שביצע את העבודה העלה גם מספר תמונות לבלוג של גיא.

מכיוון שתחום ההאקינג הוא רווי אגו, לעתים ברמה ילדותית, אני רוצה להיות זהיר ולהצהיר שבכתיבת פוסט זה אין לי כוונה להלהיט יצרים, אבל מצד שני אני בהחלט רוצה להגיד את דברי (ואני לא מחשיב עצמי האקר, אז אני מוותר מראש…).
בלי להכיר את רפי ואם גיא מהלל אותו אז זה לבטח נכון ומבלי כוונה להרוס את חגיגת יחסי הציבור של סיטדל (כמות התגובות המתלהבות בכתבה של "גלובס" קצת חשודה), לא ברור לי מה החידוש המסעיר בפרסום הזה, לפחות עבור העובדים בתחום.

הרי נציג יבואנית המצלמות מצוטט: "הפריצות מתאפשרות במצלמות מהגרסאות הוותיקות. בשנתיים האחרונות, המצלמות שלנו מאובטחות לחלוטין".
"ומה עושים הלקוחות שקנו מצלמות לפני שנתיים?- שוורץ: הם צריכים לשדרג את התוכנה. הגרסאות החדשות בטוחות."

אז כן, זו תוכנה של חומרה (אז מה?), אלו מצלמות, זה סקסי, כולם אוהבים להציץ ולראות תמונות ולהרגיש כל יכולים, רואים ובלתי-נראים, אבל לא מדובר בפרצה חדשה שלראשונה נתגלתה בעולם אלא מדובר במצב הרגיל שלקוחות לא מעדכנים תוכנה בכדי לסתום חורים ידועים. הרי מזה חי כל עובד בתחום ה-PEN TEST, שמן הסתם בכל עבודה שניה (אם לא בכל עבודה ועבודה) מוצא לפחות פרצה אחת כזו, שכבר קיימת פרק זמן כלשהו ולא התקינו לה את הפאטצ', ודרכה הוא חודר למערכות הלקוח.

אם מישהו היה אומר לכם שהוא יכול לפרוץ ל-X כי ב-X יש רכיב תוכנה שנתגלתה בו פרצה לפני שנתיים ומאז תוקנה, לא ממש תתרגשו. סתם תאנחו כי שוב הלקוח לא עדכן פאטצ'ים.

כך שהמקרה הזה הוא טריגר טוב להביא אותי למה שזה כבר כמה זמן רציתי לכתוב ולא יצא לי – הרי כל הדרמה עם מיליוני המחשבים שנדבקו בינואר 2009 ב-Confiker היתה בגלל שלא התקינו עדכון של MS מאוקטובר 2008.
כלומר, יותר משהבעיה היא טכנית היא של מוּדעות ותפעול.
היצרן יוצר פאטצ'. הלקוח צריך לדעת על הפאטצ', הלקוח צריך להתקין, הלקוח צריך לאתחל את המחשב.
הצעד הראשון הוא הקל מבין כולם, השאר קשים לביצוע אבל אם הם יבוצעו נגיע למצב האידיאלי של מניעה במקום תיקון לאחר הדבקות והשבתה.
מניסיוני בארגונים זה לא קל, בייחוד הצורך באתחול. מילא תחנות עבודה שעוד יחסית קל לאתחל אותן – בשרתים זה יוצר התנגדות חריפה של אנשי הסיסטם, שבצדק רב רוצים להימנע מהשבתות של שרתים ויישומים מרכזיים, ותמיד קיים החשש שבאתחול משהו יידפק, ולו בגלל פעולת סיסטם עלומה שבוצעה מאז האתחול הקודם ועכשיו היא תגרום לבעיה (ומן הסתם מייד יאשימו את הפאטצ', וגם זה לפעמים נכון…).
אז אין ברירה, ואני תמיד אומר שפחד זה לא מדיניות, ולדעתי עדיף להימנע מהשבתה רוחבית של עשרות שרתים ו/או מאות תחנות לזמן לא קצר לצורך ניקוי קוד זדוני במחיר של השבתה לזמן קצר ומתוכנן בגלל אתחול שלאחר התקנת פאטצ'.

.

גרועחלשבסדרטובמצוין (איש לא דירג תוכן זה עדיין. היו אתם הראשונים!)
Loading...

Share via emailShare on Tumblr Share

13 תגובות בנושא “החטא הקדמון של אי-התקנת פאטצ'ים

  1. 1מדובר בפרצה שלא ידעו עליה קודם. יש שיקראו לזה 0-day של מצלמות.
    ברור שיש מוצרים נוספים שבגרסאות ישנות שלהם יש חורים אבל זה לא העניין.
    הקטע כאן הוא שלא ידעו שיש פה חור – זה נחמד לראות מישהו מוצא 0-day במוצר כזה.
    לגבי מוצר ישן.. תחשוב על FW שמכרו לך לפני שנתיים ופתאום מתברר לך שדווקא באמצעותו פרצו לרשת שלך.
    זה מוצר אבטחה. אתה לא מצפה שיהיו בו חורים בסדר גודל כזה וגם אם יהיו – לעניות דעתי צריך להוציא הודעה מסודרת של החברה המפיצה שאומרת:
    יש כאן בעיה (לציין את הבעיה).
    ככה פותרים את הבעיה נקודתית (לתת פתרון).
    מומלץ לשדרג לגרסה חדשה שהיא מאובטחת יותר ומתוחזקת יותר (רשות, לא חובה).

  2. מסכים איתך בהחלט איתן!
    לא המציאו פה את הגלגל, גילו פרצה במצלמות IP שהיו חשופות לאינטרנט.
    כמו שציינת, יש פה מגמה ברורה של לעשות קצת פרסום.
    אלא שניפחו את הכתבה כאילו מצאו פרצה במערכת פיננסית או באיזה מערכת סקאדה.
    זה נשמע כביכול משהו רציני כי זה מצלמה, ואפשר להשליך את זה לחדירה לפרטיות.
    אבל מבחינה טכנית, אין חדש תחת השמש. אני בטוח שהרבה יועצים יסכימו אותי פה.

  3. הערה קטנה: אנשי סיסטם טובים דואגים ששרתים, גם קריטיים ביותר יקבלו ריסטרט מקסימום פעם בשבועיים. ולא רק מסיבות אבטחה. בשביל זה יש שרתי גיבוי (אפילו אם מדובר בשרת וירטואלי שמסוגל להחזיק את המערכת רק בoff peak).

  4. איתן – אני ממש לא מסכים איתך. אתה מפשט את המפגע ברמה הפילוסופית ל"לא התקינו פא'צים" וברמה הזו זה נכון. עם זאת, זה שונה מאד ואתה חוטא קצת לדעתי בזלזול שלך. אני מודה שכאשר שמעתי על כך הופתעתי מאד מהעובדה שכך מערך המצלמות הזה מחובר לאינטרנט. אין קשר לעובדה שמדובר במצלמות IP עם מפגעים או לא, אלא לרמה הבסיסית ביותר שכל ניהול המצלמות עובר דרך תשתית ציבורית בלתי מאובטחת וברכיבים עצמם יש מפגע כזה שמאפשר השתלטות עליהם. מזכיר מאד את עולם ה SCADA. למרות שאנחנו יודעים שנים איך זה עובד, כאמור הופתעתי גם אני, ואולי בתמימות, לגלות שזה עוד הרבה יותר חמור מזה.
    רפי ידידנו, שאגב אם אינך מכיר אותו אני ממליץ מאד להכיר אותו מכיון שהוא אחד המומחים היותר מדהימים בתחום וגם אדם מיוחד, עשה פה דבר חביב של באמת לגלות את הנתיבים למצלמות הללו ולהגיע לאותם חלקים של האינטרנט שאינם ממופים או מגוגלים בשום מקום ושנית למצוא את הפרצה בתוכנה. זה ממש לא דבר של מה בכך. זה לא war driving וחיפוש מצלמות אלחוטיות, מדובר על עבודה ברמה אחרת לגמרי. אגב אני משוכנע שרבים מן הלקוחות שהמצלמות הללו מותקנות אצלם כלל לא היו מודעים שבעצם תשתית השידור היא דרך האינטרנט ובצורה לא מאובטחת בעליל.
    יותר מזה – בשל העובדה שמדובר במערכת אבטחה לכשעצמה, זה לא טריוויאלי שצריך לעדכן טלאים. בדרך כלל יש נטיה (לא נכונה) להניח שמערכות האבטחה בעצמן מאובטחות. יותר מזה – צריך לזכור שלא מדובר פה בארגוני מחשוב או סיסטם שמעדכנים תוכנה – מצלמות הן בדרך כלל באחריות קב"ט או גוף דומה ונדיר מאד שיש לו קשר ולו מקרי לגוף המחשוב. המערכות הללו מתוחזקות לרוב על ידי חברה חיצונית, שיודעת, או לא יודעת, מה היא עושה.
    בעיני זו הוכחת יכולת מאד יפה לכולם שהכל פרוץ והכל חשוף. וכל הכבוד גם לחברת סיטאדל וגם אגב ליצרנית המצלמות שהסכימה לפרסום הזה, שמביאים את הדברים בצורה פומבית, אפילו אם זה לצורך פרסום (שאגב מאד מגיע להם כי הם חברה של אנשים מצוייינים).

    למגיב מספר 3 – זו אחת השטויות הכי גדולות ששמעתי, הלוואי שהיה אפשר לעשות ריסטרט לשרתים פעם בשבועיים.

  5. איתן, אתה צודק כמעט לחלוטין.
    גיא צודק בזה שזו חולשה חדשה ולכן זה מגניב. מעבר לזה מדובר ב"חדשות ישנות" כי התשתיות הוירטואליות הציבוריות בעולם ובמיוחד בארץ פרוצות מכל כך הרבה בחינות, שאין פה חידוש טכנולוגי מטורף אלא רק "עוד חולשה" (שלא פורסמה). פשוט בגלל שמדובר במצלמות החברה הצליחה לעשות לעצמה קצת פרסומת.

    לניב – בתור דמות וירטואלית עם שם פרטי בלבד קשה להתייחס ל"וואלה רפי גבר חושילינג" שלך ברצינות. אולי תברר בקרב חבריו למדור ביחידה בה הוא שרת בצבא מה היה הדבר הראשון שהוא עשה שם. ועכשיו לדברים שכן אפשר לוודא ולאמת – קרא את הפוסטים שלו בבלוג של גיא. אחד המרשימים שם הוא הפוסט שבו רפי חי בסרט ש-NTFS זה פיצ'ר אבטחה רלוונטי באמת ל-DoK ואז בתגובות מתרץ את זה בתירוצים מופרכים כל כך…

    אם הוא באמת הגיע לחלקים שלא ממופים בשום מקום יש שלוש אפשרויות:
    1. הוא סרק את כל הטווחים הרלוונטיים ואז זה לא מעניין בשום צורה.
    2. הוא פרץ לאתרים של החברות הרלוונטיות ושם מצא את המידע על המצלמות, ואז זה די נחמד, אבל אז זה לא בדיוק לא ממופה בשום צורה: רשת פנימית שמחוברת לאינטרנט נחשבת כמו האינטרנט לצרכי זרימת מידע.
    3. הוא עשה משהו מגניב באמת (כמו להשתלט על ראוטרים ב-IIX ולחפש עליהם תעבורה מעניינת), ואז מדובר בעוד משהו שלא פורסם וחבל.

  6. וו, וו, חבר'ה, רילקס. לא להתלהב ולהתלהם. זה לא נעים.
    בואו נתרכז ב-ISSUE ולא באיש (שאני בטוח שהוא מעולה אם ניב וגיא אומרים זאת, כי אני מכיר את שניהם).

    1. מר נקודה, תיאורטית אתה צודק וזה היה נפלא אם היה אפשר אבל ברוב השרתים אין אפשרות לבצע אתחול, לא רק מסיבות טכניות (היעדר כפילות) אלא בעיקר מסיבות ארגוניות שהארגון רוצה את המערכות זמינות כמה שיותר זמן.

    2. ניב, אני לא מזלזל, אני פשוט לא מצטרף לחגיגה שנראית לי מוגזמת ואני יותר ספקני בחידוש שיש כאן. וזאת רק לאור הנתונים הידועים לי מהכתבה בגלובס ומהפוסטים אצל גיא. הנתונים שאתה מדבר עליהם, ככל שאני יודע, לא נכתבו במקומות אלו. אם יש לך קישור לפרטים נוספים, בבקשה תרשום אותו כאן. זה כנראה מידע נוסף שהגיע אליך ממקורות אחרים ולא פורסם. לי רק ידוע על גילוי פרצה בתוכנה הספציפית של המצלמות ולא מעבר לכך, ולכך התייחסתי.

    3. מר שו, אני מכיר את ניב והוא באמת בעל ידע רב באבטחת מידע ומכיר את גיא וכנראה גם את רפי. אני מכיר אותו כאדם דובר אמת שיגיד תמיד את מה שהוא חושב, וזו בעיקר ביקורת, אז אם הוא כבר מפרגן, אז יש לכך סיבה, גם אם הוא לא מכיר את רפי מהיחידה הצבאית בה שירת.

    בכלל, אני אשמח אם תתייחסו גם לחלק השני של הפוסט, לגבי אי-התקנת פאטצ'ים.

  7. אני חייב להעיד כמי שמכיר את כל הנוגעים בדבר.
    1. רפי בחור מוכשר מאוד. אחד הטובים ביותר.
    2. רפי מסוכן 🙂 אין הרבה מקומות שיצליחו להחזיק אותו בחוץ אם הוא באמת נחוש. מצד שני הוא אחד החבר'ה היותר אחראיים והגישה הזאת (responsible disclosure במקום FULL ) מוכיחה מה שאני אומר. (שו – הסעיף הזה אמור להגיד לך מאיפה אני מכיר את רפי).
    3. ניב הוא לא דמות וירטואלית. הוא בוחר לא להיחשף בשמו המלא. כמי שאכל איתו ארוחות צהריים במשך יותר משנה אני יכול להעיד שהוא אמיתי 🙂

    וליתר – תאמינו לי שאם זה היה עוד גוגל hacking כדי למצוא מצלמות או משהו עלוב אחר, לא ממש היו מצליחים להלהיב אותי.

  8. התגובה של המגיב "עבאדי" הרשום לעיל, שהיתה רשומה כאן, נמחקה על ידי (איתן כספי).
    המגיב כתב כנגד גיא מזרחי באופן לא הולם. נכון, גיא ידיד שלי, אבל לא זו הסיבה למחיקה, אלא שאני לא מוכן שהבלוג שלי יהפך לזירת התגוששות ומזבלה.
    הסרתי את מגבלת האישור המקדים של תגובות על ידי בכדי לאפשר זרימה של תגובות, אבל לא אסכים להידרדרות בסגנון הדברים.

  9. אז למה לא למחוק את תגובה 8 לגמרי? אלא להשאיר איזשהי תגובה שמעידה על וויכוח שהתחולל חלילה זה יותר טוב?

  10. שתי סיבות:
    1. אני בכל אופן מכבד אותך ואת זה שרצית להשתתף בדיון ואני גם משאיר כך קישור לאתר שלך, אולי שם תרצה לכתוב פוסט משלך בנושא. חופש ביטוי.
    2. אני רוצה להעביר מסר באמצעות המקרה שלך לקוראי האתר. אגב, ברכות, אתה הראשון שאני עורך תגובה שלו. אין פרסים.

  11. תשמעו חבר'ה גם אני לא הכרתי את הבחור ובעקבות כל השיחה הזאת חיפשתי וגוגל וואלה יש לו 7 דפים של ממצאים מאומתים מיצרנים ב SecurityFocus אז כנראה שהוא מבין משהו בחייו…

    https://www.google.co.il/search?q=securityfocus+%22advanced+search%22&ie=utf-8&oe=utf-8&rls=org.mozilla:en-US:official&client=firefox-a&gws_rd=cr&ei=MGZQUoPECpGo0AWi_YHoDA#q=site:securityfocus.com+%22rafel+ivgi%22&rls=org.mozilla:en-US%3Aofficial

    שני אלה גם נראה לי די מתוחכמים
    http://downloads.securityfocus.com/vulnerabilities/exploits/27756.html
    http://www.securityfocus.com/bid/32780/discuss

  12. גיא היקר, אני יודע מאיפה אתה מכיר את רפאל, משום שאני יודע שאתה עדיין מועסק שם ובאיזה פורמט. אני גם יודע שאתה אוהב להופיע בכנסים (כמו ilhack09 או הכנס של מכון נטוויז'ן) עם חולצת got root המפורסמת שלך. אל חשש. אני יודע כל מה שצריך לדעת על הנוגעים בדבר.

    העניין הוא שכל עוד דמויות וירטואליות מדברות באינטרנט על דברים ללא מידע, בלתי-אפשרי להתייחס אליהם ברצינות. full disclousre לא סותר "responsible disclosure". אני אתן כדוגמה את ההרצאה האחרונה של קמינסקי ב-BLACKHAT או את ההרצאה המפורסמת של מייקל לין ב-BLACKHAT לפני שנים: נותנים את כל המידע לאחר שנתנו ליצרנים וללקוחות מספיק זמן ומידע כדי להגן על עצמם.

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *