В 2019 году компания Check Point провела конференцию CPX в трех городах: Лас-Вегасе, Бангкоке и Вене. Если ты вдруг не слышал о Check Point, то это один из ведущих провайдеров безопасности, который выпускает как софтверные, так и хардверные продукты — по большей части корпоративные. Штаб-квартира компании расположена в Тель-Авиве, а офисы и центры разработки — по всему миру. Всего в них работает около 4000 человек.
Помимо выступлений спикеров, демонстрации продуктов Check Point и партнерских стендов, на конференции было еще много интересного. В частности, впервые на CPX появилась такая вещь, как Geek Village, где хакерам создали максимально родную атмосферу (то есть полумрак, зеленую подсветку и музыку) и предложили конкурсы и воркшопы по реверсу малвари, криптографии, взлому замков и прочим увлекательным занятиям.
Мне же в свободное от кейноутов время предложили встретиться с кем-нибудь из спикеров компании. Без раздумий я попросил о встрече с Янивом Балмасом. Еще бы: Янив — хакер с серьезным стажем и автор многочисленных исследований, с одним из них он выступал на DEF CON, с другим — на CCC. Впрочем, не будем забегать вперед.
— Расскажи о себе, о своей карьере в Check Point, чем ты занимаешься, за что отвечаешь.
— Я глава исследовательского подразделения в Check Point. Под моим руководством трудится группа примерно из тридцати человек с крутым техническим бэкграундом. Все они — реверсеры с многолетним опытом. Мы занимаемся всем, включая анализ малвари, изучение уязвимостей и способов эксплуатации, а также всех сопутствующих вещей. В общем, мы — техническая ветвь Check Point.
— Ваша работа потом находит применение в продуктах Check Point?
— Это как раз наша основная забота. Ресерчеры обычно очень отдалены от разработки. Нужно как-то брать полученные ими знания и интегрировать в продукты. Это далеко не так тривиально, как может показаться, но мы стараемся! В итоге многие открытия моей группы находят свое применение в разработках Check Point.
— Как вы выбираете, что ресерчить?
— О, вот это вопрос на миллион! Но в общих чертах цели можно поделить на несколько категорий. Если речь об изучении малвари, то все зависит от того, что сейчас распространено. Вообще, вредоносное ПО — это наше основное поле деятельности. Сюда же относятся и APT, например. Если говорить о вещах вроде сегодняшнего анонса про WinRAR, то здесь цель, конечно, выбираем мы сами. Как? Чаще всего — руководствуясь интуицией.
— То есть ресерчеры во многом сами выбирают, чем им заниматься?
— У нас есть ежемесячные совещания, на которых мы садимся и предлагаем идеи, обсуждаем их и вносим разные предложения. Каждая идея подвергается критике, сравнимой с критикой научной публикации. Если удалось пройти этот процесс, то да, мы берем идею в работу.
— Расскажи о том, как ты вообще пришел к этой профессии. Ты ведь начал еще в девяностые?
— Да, я постарше, чем я выгляжу, — мне в этом году исполнилось сорок. Но компьютерами я интересовался с малого возраста, с шести лет. У меня был Commodore 64. И когда я начинал, интернета еще не было — по крайней мере у простых людей. Я много играл в игры, потом можно было сидеть в IRC через сеть университета. Я думаю, мои пристрастия сформировались когда-то тогда, благодаря сообществу. А еще хотелось играть, а игры стоили денег и были защищены от копирования. Это, кстати, был распространенный способ приобщиться к миру кибербезопасности.
— В твоем био написано, что ты владеешь глубоким видением прошлого и будущего киберугроз.
— Правда? (Смеется)
— Да, и что у тебя уникальный взгляд на ландшафт инфосека. Но давай разобьем это на части. Пока оставим в покое прошлое и поговорим сначала о настоящем, а потом — о будущем.
— Хорошо. Ну если говорить про то, что происходит сейчас, то нас интересуют такие вещи, как новые семейства вредоносов, новые опасные группировки киберпреступников, важные случаи APT. И конечно, связанные с этим уязвимости и векторы.
— Твоя главная головная боль сегодня — это...
— О, у меня их много! Киберпреступность не дает нам расслабляться! Но основная проблема в том, что экосистема становится все сложнее и сложнее. Если бы пять-шесть лет назад ты спросил у меня, какая малварь сейчас актуальна, я бы ответил, что это банкеры, вымогатели и еще что-нибудь. А сейчас все страшно переплелось и стало так сложно, что мы еле успеваем разбираться. Так что главная головная боль — это, пожалуй, понять текущую экосистему. И это, кстати, не совсем техническая задача, а скорее что-то вроде разведки. Прежде чем начать делать что-то техническое, сначала нужно понять ландшафт. Вот это уже очень сложно.
— Что конкретно для этого нужно делать? Мониторить форумы?
— Есть разные способы, мониторинг форумов — это один из них. Другой — телеметрия, которую мы получаем из разных источников. Есть еще специальные инструменты, которые мы создаем сами. Также мы постоянно работаем над средствами обработки этой информации. Сложность этих механизмов должна быть сопоставимой со сложностью экосистемы.
— В прошлом году много шума наделали атаки по сторонним каналам вроде Meltdown, Spectre и новых вариаций Rowhammer. Есть ли шанс, что что-то подобное вскоре появится в дикой природе, а не только в научных работах?
— Вот тут ты затронул очень важную тему. Если посмотреть на историю появления уязвимостей и эксплоитов, то видна одна важная тенденция. Многие помнят, как в середине девяностых Aleph One впервые научился эксплуатировать переполнение буфера. Он опубликовал в Phrack статью Smashing The Stack For Fun And Profit. Это было, считай, академическим исследованием, не было настоящих атак, которые бы эксплуатировали эту уязвимость. Они не появились ни на следующий день, ни на следующий год. Прошло серьезное время, прежде чем до людей дошло, как именно пользоваться этим. А потом — раз — и атаки этого типа стали появляться абсолютно повсюду. Оказалось, что это мощнейший вектор, и защиты, считай, не было. Вначале все пытались решить эту проблему в софте, и это работало не очень, и кончилось тем, что Intel и другим производителям процессоров пришлось внести изменения в железо. Потом точно так же была найдена следующая вещь: с ROP, например, тот же цикл повторился снова. Так что Spectre, Meltdown и Rowhammer на данном этапе — это лишь академические исследования. Но это потрясающие атаки, реально гениальные. Пока что никто не знает, как их использовать, но, на мой взгляд, это лишь вопрос времени. И когда начнут появляться рабочие эксплоиты, мы окажемся в большой беде, как уже бывало раньше. Потребуется масса времени, чтобы создать надежную защиту. Учитывая, что она должна быть в железе, это будет сложно и может затянуться.
INFO
Подробнее о Meltdown и Spectre читай в статье «Разбираем фундаментальные уязвимости в процессорах».
— Как скоро мы можем увидеть реальные атаки? В течение пары лет?
— Не исключено. Но это только мое предсказание.
— Ладно, давай вспомним, что еще интересного может быть в ближайшее время. На горизонте 5G, и со временем у каждой «умной» вещи будет свой доступ в интернет и адрес IPv6. Соответственно, все они окажутся в «большом» интернете, а не в локальной сети за NAT. Как думаешь, все разом начнет ломаться?
— Я думаю, в реальности — нет. Каждый раз, как появляется новая технология, всегда все говорят о том, что будет катастрофа. Но до сих пор никаких особенных катастроф не было. Да, появятся новые уязвимости, вырастет поверхность атаки. С новыми технологиями всегда так: сначала с защитой дела обстоят неважно, но потом все как-то приспосабливаются и живут дальше. В общем, я думаю, конца света не будет и все продолжит работать.
— Расскажи о каком-нибудь крутом проекте из того, чем вы занимались.
— Не знаю, слышал ли ты, но у нас относительно недавно была разработка, связанная с факсами. Мы опубликовали концепт в августе 2018 года. Работает это очень просто. Сегодня в роли факсов обычно выступают МФУ, а МФУ зачастую подключены к внутренней сети организации. Что произойдет, если кто-нибудь подключится к МФУ через телефонную линию и отправит специально сформированный факс? Нам удалось это проделать. Мы протестировали этот метод на устройствах HP и обнаружили, что уязвима вся линейка OfficeJet, в которой больше 400 моделей.
— Как это работает? Факс же вроде аналоговая машина.
— Да, полностью аналоговая и работает через телефонную сеть, но внутри принтера — процессор, который обрабатывает эти аналоговые сигналы и передает их софту. А вот в этом софте и нашлись баги!
Faxploit
Найденная командой Check Point уязвимость использует две проблемы переполнения буфера в составе протокола для факсов. Они позволяют встроить вредоносный код в изображения, которые факсимильный аппарат декодирует и загружает в свою память, а затем малварь распространяется по сетям, к которым подключено устройство. Таким образом атакующий добивается удаленного исполнения произвольного кода и может распространить в сети организации любое вредоносное ПО.
Более подробно — в нашей новости и в выступлении Янива на DEF CON 2018.
— Это твоя разработка? Кстати, расскажи про свою карьеру, что ты делал до Check Point?
— Да, PoC с факсами — это была моя работа. До Check Point я тоже ресерчил — под моим именем опубликовано несколько CVE. До этого у меня был интересный проект с использованием KVM. Не в смысле виртуализации, а в смысле свитчей, переключающих клавиатуру, монитор и мышь между двумя компьютерами. Например, в правительственных организациях широко применяются такие устройства. Если есть возможность получить физический доступ к свитчу KVM, то можно проанализировать и изменить его прошивку, а потом залить новую, которая будет передавать данные атакующему.
— Звучит круто. Но давай вернемся к вашему исследованию WinRAR, о котором вы сегодня рассказывали. Как вам удалось найти уязвимость?
— Мы много занимаемся фаззингом и достигли в этом больших успехов. У нас под это выделена большая инфраструктура и есть воркфлоу, который позволяет автоматически выявлять уязвимости в исполняемых файлах.
— И вы проверяете им популярный софт?
— Мы очень аккуратно выбираем цели. Они должны подходить под нашу инфраструктуру и вообще в целом быть интересными. Если выбрать правильно, то можно получить очень интересные результаты.
— Эта инфраструктура — чисто ваша разработка?
— Мы используем разные утилиты, в том числе опенсорсные, иногда модифицируем их. Но тут важен не только софт — важно отладить сам процесс. В общем, это сложная штука.
— Какие, думаешь, будут последствия раскрытия уязвимости?
— Мы в первую очередь связались с Rarlab, и архиватор уже запатчили. К сожалению, немногие люди обновляют WinRAR и у него нет механизма автоматического обновления. Но мы не публиковали никаких частей эксплоита: мы такого никогда не делаем и считаем, что это было бы безответственно. Так что злоумышленники не могут просто взять и скачать код, а потом пойти и начать взламывать. Но информация опубликована, так что, обладая определенными навыками, кто-то может найти то же, что нашли мы. И если он не будет таким же ответственным, как и мы, это может стать проблемой. Но мы, конечно же, встроили соответствующие защитные механизмы в наш софт.
— У людей вряд ли есть продукты Check Point на компьютерах.
— Это верно, но они могут просто обновить WinRAR. Или снести его и поставить 7-Zip.
— Ты уверен, что это правильный выбор — рассказать о такой уязвимости, даже если есть шанс, что после этого о ней узнают преступники?
— Это большая дилемма в нашей профессии. Можно, конечно, молчать и никому не говорить, кроме разработчика, который по-тихому запатчит уязвимость, или можно рассказать всем. Это обсуждалось сообществом много лет, и решение — это обнародовать находки. Что, если преступники раскроют уязвимость сами и будут ее скрытно использовать? Публикуя информацию, мы, по крайней мере, привлекаем внимание к проблеме. И надеемся, что люди успеют поставить обновления до того, как им будет что-то угрожать.
Уязвимость в WinRAR
Найденный логический баг связан со сторонней библиотекой UNACEV2.DLL, которая входит в состав практически всех версий архиватора с незапамятных времен. Эта библиотека отвечает за распаковку архивов формата ACE и не обновлялась давным-давно. Оказалось, что можно создать специальный архив ACE, который при распаковке сможет поместить вредоносный файл в произвольном месте, в обход фактического пути для распаковки архива.
Буквально через несколько дней после публикации исследования Check Point и нашего разговора с Янивом эксперты 360 Threat Intelligence Center сообщили, что уязвимость уже находится под атакой. Спамеры начали прикладывать к своим посланиям вредоносные архивы, которые при распаковке заражают машину пострадавшего бэкдором.
— Что еще нас ждет в ближайшем будущем?
— Я уже рассказывал о том, что мы много используем фаззинг, чтобы искать уязвимости. Это вообще стало распространенной практикой в индустрии. На какую конференцию ни пойдешь, все время слышишь, что многие занимаются фаззингом — с разными успехами. Если посмотреть на список CVE, отправленных в 2017 и 2018 годах, можно увидеть огромный прирост. Я думаю, немалый вклад в это внесли технологии фаззинга, которые сейчас стали зрелыми. Но много уязвимостей вовсе не означает, что становится много эксплоитов. Иногда уязвимость слишком сложно эксплуатировать, но я думаю, что эта технология принесет нам еще много работы — поскольку ее используют и хорошие ребята, и плохие.