О недавних успехах кибермедведей
2020-12-16 06:51 pm![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
waqurНедавний взлом американских федеральных учреждений через обновление программы SolarWinds (которое было автоматическим и даже содержало валидную электронную цифровую подпись) показал всю опасность подхода "безусловно доверять автоматическим обновлениям и держать эту опцию постоянно включённой".
Если бы генералам из Department of Defenсe, Department of Homeland Security и State Department подчинённые в своё время честно сказали «мы вручаем "ключи от королевства" неизвестному индусу, который в компании SolarWinds является инженером по сборке», вряд-ли этот взлом случился бы. У федеральных ведомств тысячи подрядчиков, и если каждому из них и его собаке была предоставлена безотзывная возможность сейчас или в любой другой более удобный для них момент времени взломать любой сервер правительства США — то эту ситуацию в целом сложно охарактеризовать как "безопасную". Хотя именно этот "безопасностный" хайп постоянно разгоняют адепты секты свидетелей принудительных автоматических обновлений.
Эти адепты в своё время упустили из виду, что помимо преимуществ для безопасности (в виде оперативного исправления RCE-узявимостей типа "переполнение буфера"), открываемых автоматическими обновлениями, есть и недостатки, которых явно больше:
1) Очень сильно расширяется круг доверенных лиц, которые могут занести бэкдор в федеральное учреждение (раньше это были только внутренние админы типа Мэннинга и Сноудена, а теперь это ещё и каждый человек со стороны, у которого есть право подписи автоматически устанавливаемых обновлений для софта, используемого на хотя бы одном из компьютеров во внутренней сети; боюсь, что генералы даже и не подозревают, что таких людей гораздо больше, чем находится в штате их ведомств и в их непосредственном подчинении).
2) Вся схема очень сильно завязана на криптографию. Если завтра будет взломан алгоритм цифровой подписи RSA, или ECDSA, или криптографическая хэш-функция SHA2, или одна из популярных реализаций, или если где-то произойдёт утечка криптографических ключей, тогда обновления для "федералов" сможет подписывать каждый сантехник из ближайшего интернет-провайдера. Это будет настоящий хаос.
3) Общее увеличение связности системы влечёт общее увеличение хаоса. Снижаются требования к качеству кода, к тестированию и т.д., все разработчики начинают работать "на авось", по принципу "зачем париться, потом всё патчем исправим" и т.д.
4) Постоянно открытый бэкдор во внутренние сети федеральных учреждений фактически "сводит на нет" любую сертификацию софта или оборудования на предмет криптографической надёжности, конфиденциальности обрабатываемых данных и т.п. — все эти гарантии могут быть нивелированы ближайшим обновлением, которое вступит в силу ещё до того, как высохнут чернила на "сертификате безопасности", который был с таким трудом получен федеральным подрядчиком. Следовательно, всю систему подобной сертификации следует полностью упразднить. Или упразднить практику безусловно-доверенных автоматических обновлений. Одно из двух.
А теперь представьте на минуточку, что в следующий раз взятку "за невнимательность" от кибермедведей получит индус не из SolarWinds, а из Microsoft, и обновление с бэкдором прилетит не десяткам тысяч пользователей, а сотням миллионов.
Если бы генералам из Department of Defenсe, Department of Homeland Security и State Department подчинённые в своё время честно сказали «мы вручаем "ключи от королевства" неизвестному индусу, который в компании SolarWinds является инженером по сборке», вряд-ли этот взлом случился бы. У федеральных ведомств тысячи подрядчиков, и если каждому из них и его собаке была предоставлена безотзывная возможность сейчас или в любой другой более удобный для них момент времени взломать любой сервер правительства США — то эту ситуацию в целом сложно охарактеризовать как "безопасную". Хотя именно этот "безопасностный" хайп постоянно разгоняют адепты секты свидетелей принудительных автоматических обновлений.
Эти адепты в своё время упустили из виду, что помимо преимуществ для безопасности (в виде оперативного исправления RCE-узявимостей типа "переполнение буфера"), открываемых автоматическими обновлениями, есть и недостатки, которых явно больше:
1) Очень сильно расширяется круг доверенных лиц, которые могут занести бэкдор в федеральное учреждение (раньше это были только внутренние админы типа Мэннинга и Сноудена, а теперь это ещё и каждый человек со стороны, у которого есть право подписи автоматически устанавливаемых обновлений для софта, используемого на хотя бы одном из компьютеров во внутренней сети; боюсь, что генералы даже и не подозревают, что таких людей гораздо больше, чем находится в штате их ведомств и в их непосредственном подчинении).
2) Вся схема очень сильно завязана на криптографию. Если завтра будет взломан алгоритм цифровой подписи RSA, или ECDSA, или криптографическая хэш-функция SHA2, или одна из популярных реализаций, или если где-то произойдёт утечка криптографических ключей, тогда обновления для "федералов" сможет подписывать каждый сантехник из ближайшего интернет-провайдера. Это будет настоящий хаос.
3) Общее увеличение связности системы влечёт общее увеличение хаоса. Снижаются требования к качеству кода, к тестированию и т.д., все разработчики начинают работать "на авось", по принципу "зачем париться, потом всё патчем исправим" и т.д.
4) Постоянно открытый бэкдор во внутренние сети федеральных учреждений фактически "сводит на нет" любую сертификацию софта или оборудования на предмет криптографической надёжности, конфиденциальности обрабатываемых данных и т.п. — все эти гарантии могут быть нивелированы ближайшим обновлением, которое вступит в силу ещё до того, как высохнут чернила на "сертификате безопасности", который был с таким трудом получен федеральным подрядчиком. Следовательно, всю систему подобной сертификации следует полностью упразднить. Или упразднить практику безусловно-доверенных автоматических обновлений. Одно из двух.
А теперь представьте на минуточку, что в следующий раз взятку "за невнимательность" от кибермедведей получит индус не из SolarWinds, а из Microsoft, и обновление с бэкдором прилетит не десяткам тысяч пользователей, а сотням миллионов.
