Хакер #305. Многошаговые SQL-инъекции
Вчера мы уже рассказывали о том, что внимание профильных СМИ и экспертов привлекла пугающая новость: израильский стартап CTS-Labs заявил об обнаружении сразу 13 критических уязвимостей в процессорах AMD, которые были разделены на четыре класса: RyzenFall, MasterKey, Fallout и Chimera.
Однако «повторения Meltdown и Spectre» определенно не получилось. Дело в том, что информация, опубликованная исследователями на сайте amdflaws.com, вызвала большое недоверие у представителей индустрии. Так, ранее о компании CTS-Labs практически никто не слышал, а исследователи не подкрепляли свои громкие заявления об опасных уязвимостях никакими техническими деталями и номерами CVE, а также уведомили представителей AMD о грядущем раскрытии информации лишь за сутки до публикации. К тому же приложенные к отчету видеоролики оказались сняты на фоне зеленого экрана, что заставило многих усомниться в том, что компания CTS-Labs вообще существует, а ее заявления подкреплены какими-то фактами.
Многие известные ИБ-специалисты писали в социальных сетях, что отчет, в котором отсутствуют какие-либо технические детали, подозрителен и больше похож на whitepaper какого-то ICO, а происходящее напоминает спланированную маркетинговую кампанию. К тому же представители CTS-Labs определенно преувеличили значимость обнаруженных проблем, так как для эксплуатации большинства из них злоумышленнику потребуется получить едва ли не физический доступ к системе, иметь права администратора, перепрошить BIOS и так далее.
Но еще вчера стало известно, что назвать опубликованную CTS-Labs информацию фальшивкой все же нельзя. Как оказалось, «технический» отчет и proof-of-concept эксплоиты для опасных процессорных уязвимостей существуют: ранее представители CTS-Labs обращались за консультацией и экспертной оценкой к главе компании Cymmetria, Гади Эврону (Gadi Evron), а также главе компании Trail of Bits, Дэну Гвидо (Dan Guido). Оба эксперта заверили общественность, что уязвимости подлинные, а эксплоиты работают.
Чуть позже легитимность заявлений CTS-Labs также подтвердил уважаемый ИБ-эксперт Алекс Ионеску (Alex Ionescu). Специалист не согласился с мнением большинства коллег, которые высмеивали уязвимости из-за того, что для их эксплуатации требуются права администратора. Ионеску предупреждает, что подобные баги позволяют сделать и без того скверный хак еще хуже и опаснее.
On the #AMDflaws — I have seen the technical details and there are legit design & implementation issues worth discussing as part of a coordinated disclosure effort. The media storm and handling around that is sadly distracting from a real conversation around security boundaries.
— Alex Ionescu (@aionescu) March 14, 2018
Однако даже доказательства легитимности заявлений CTS-Labs не успокоили взбудораженное ИБ-сообщество, которое все равно продолжило критиковать исследователей, теперь уже за выбранный ими способ обнародования информации.
В ответ на эту критику глава CTS-Labs, Илья Лук-Зильберман (Ilia Luk-Zilberman), опубликовал открытое письмо, в котором пояснил позицию своей компанию и привел ряд интересных доводов в защиту своей точки зрения. Ниже мы цитируем отрывок из документа.
«Я понимаю, что это крайне горячий вопрос для обсуждения, по которому все имеют свое твердое мнение. К сожалению, у меня тоже есть твердое мнение по данному вопросу.
Я считаю, что в текущей структуре «ответственного раскрытия данных об уязвимостях» [Responsible Disclosure] есть огромная проблема. Если исследователь находит уязвимость, данная модель предлагает ему и производителю уязвимого продукта совместно разработать исправления, уложившись в определенные временные рамки (30/45/90 дней), после чего разработчик обнародует уязвимость. Эти временные рамки призваны поторопить вендора, и ускорить выход исправлений.
На мой взгляд, основанная проблема данной модели заключается в том, что на протяжении этих 30/45/90 дней производитель решает, хочет ли он уведомить о проблеме своих пользователей. Насколько мне известно, крайне редко вендор решает выступить с заявлением до истечения срока и уведомить клиентов: “У нас есть проблемы, которые подвергают вас риску, мы уже над ними работаем”. Почти всегда это происходит постфактум: “У нас были проблемы, вот патч, волноваться не о чем”.
Вторая проблема — если производитель не выпускает исправление вовремя, что тогда? Исследователь сам предает [уязвимость] огласке? Вместе с техническими подробностями и эксплоитами? Подвергая пользователей риску? Это выше моего понимания, [не знаю], как мы можем соглашаться с таким поведением, когда по истечении срока исследователи объявляют обо всех технических деталях уязвимостей, потому что вендор не отреагировал. Почему пользователи должны расплачиваться за бездействие производителя? Я понимаю – такова сегодняшняя модель, и люди следуют ей, но я считаю, что мы способны добиться большего.
Я считаю, что гораздо лучше будет уведомлять общественность о существовании уязвимостей и их последствиях непосредственно в день 0. Уведомлять производителя и общественность одновременно. И не раскрывать фактические технические детали, если только уязвимость уже не была устранена. Чтобы все давление общественности с самого начала лежало на производителе, но пользователи ни в ком случае не подвергались риску».
Сложно отрицать, что в словах главы CTS-Labs есть зерно истины. Опубликованное письмо хорошо объясняет действия CTS-Labs и проливает свет на то, почему представители AMD узнали о происходящем практически одновременно с широкой публикой, а технические детали проблем были раскрыты только производителю и узкому кругу экспертов. В своем заявлении Лук-Зильберман отмечает, что сожалеет лишь о том, что сотрудники CTS-Labs своевременно не поставили в известность об уязвимостях больше сторонних экспертов, которые могли подтвердить подлинность проблем.