Тема: Статьи и мануалы / подкасты от BlackMast
Показать сообщение отдельно

  #17  
Старый 12.05.2022, 15:16
BlackMAST
Участник форума
Регистрация: 05.12.2021
Сообщений: 262
С нами: 2337451

Репутация: 0
По умолчанию
Эпизод 14: Что скрывает Интернет

Вступить в наш чат

В 2012 году был создан и запущен в мир ботнет Carna. Но у него не было никаких намерений делать что-то злонамеренное. Он был создан только для того, чтобы помочь всем нам лучше понять Интернет. Этот ботнет использовал самую старую уязвимость в системе безопасности.

Ботнет Carna использовался для сканирования Интернета с целью создания карты расположения всех общедоступных компьютеров в мире. Чем это всё обернулось, читайте дальше.



Все эти данные, которые есть в базе данных, интересны, но читать их скучно. Тогда разным регионам мира был присвоен диапазон IP-адресов. Африка получает один блок, США - другой, и так далее. Но еще более конкретным штатам и городам также присваиваются диапазоны IP-адресов. Исследователь начал добавлять географические местоположения ко всем собранным им данным. Поиск GeoIP был выполнен по каждому IP-адресу, чтобы определить, где находится этот компьютер в мире. В конце концов данные начали рассказывать историю. Данные показывали, какие IP-адреса были подключены к Сети и где они находились. Исследователь собрал все эти данные о местоположении и разместил их на карте мира. Это дало удивительные результаты.

Исследователь безопасности собрал все данные и анонимно опубликовал их на всеобщее обозрение. Это включало в себя множество подробностей о том, как был создан ботнет Carna, а также о том, как были собраны все данные, и, конечно же, карту всех компьютеров в мире. На карте вы увидите много точек. На карте есть точка для каждого компьютера в местоположении, которое было в базе данных. Там миллиарды точек.

Все, кому я показывал эту карту, восхищались великолепием данных, на которые они смотрели. Некоторые люди заметили, что Лос-Анджелес выходит в сеть примерно в то же время, что и Нью-Йорк. Некоторые люди замечают, что в Северной Корее совершенно темно, а другие люди видели, что Канада, Россия и северные районы были темными, за исключением Скандинавии. Поскольку исследователь безопасности создал такую красивую карту для отображения собранных данных, эта карта стала вирусной и распространилась по всему миру.

Все были удивлены, насколько велик Интернет. Это первая карта Интернета, и она поразила всех нас. Сейчас, спустя полтора десятилетия, я все еще вижу, как эта карта время от времени появляется в моих социальных сетях, когда кто-то новый открывает ее и падает в обморок от красоты. Большинство людей видят эту карту и понятия не имеют, что потребовалось для ее создания.

Создатель этого ботнета оставался анонимным. Это связано с тем, что, несмотря на то, что у ботнета Carna были благие намерения, он все равно был незаконным, поскольку загружал и запускал программы на машинах, которые не принадлежали исследователю. Создатель ботнета должен был оставаться скрытым и анонимным после публикации данных. Эта история, вероятно, закончилась бы прямо здесь, если бы не один человек.

ПАРТ: Меня зовут Парт Шукла. В настоящее время я работаю инженером по безопасности в Google здесь, в Швейцарии. Раньше, до Google, я работал в AusCERT, австралийской группе реагирования на компьютерные чрезвычайные ситуации, базирующейся в Брисбене, Австралия. Когда я впервые прочитал об этом, я только начал работать в AusCERT. Это был мой первый месяц. Это моя первая работа в области ИТ-безопасности. В то время я все еще учился. Но меня сразу заинтересовала карта Интернета.

Итак, я нашел электронное письмо, которое, по-моему, уже было на странице GitHub, и отправил возможному создателю карты зашифрованное электронное письмо со словами: "Можете ли вы предоставить нам скомпрометированные IP-адреса, которые вы использовали для сканирования ботнета только для Австралии?" Я получил ответ, в котором говорилось, что на самом деле я первый человек, который связался с ним. Так всё и началось.

Ведущий: Когда Парт прочитал о ботнете Carna, ему бросилась в глаза одна вещь. Те 1,2 миллиона систем, которые были в Интернете, запускали Telnet и использовали пароли по умолчанию. Он думал, что не должно быть никаких причин для появления такого количества незащищенных устройств. Он хотел глубже разобраться в этой проблеме. Когда он попросил создателя ботнета указать только уязвимые устройства в Австралии, исследователь дал Парту полный список всех 1,2 миллионов уязвимых устройств.

ПАРТ: Сами данные составляли около 882 МБ. Это был большой текстовый файл с вкладками, и в основном он содержал MAC-адреса, производителей, оперативную память, имя хоста, информацию о процессоре, IP-адреса, коды стран всех устройств. Примерно 1,2 - 1,3 миллиона.

Ведущий: Когда Парт начал понимать, насколько уязвим Интернет, он решил что-то с этим сделать.

ПАРТ: Я действительно связался с IEEE.

Ведущий: IEEE - это организация, которая создает стандарты для электронных компонентов. Они являются авторитетной фигурой, для которой производитель может использовать тот или иной MAC-адрес. MAC-адрес - это локальное обозначение, назначенное каждому сетевому интерфейсу на каждом устройстве в мире. У Парта был список из 1,2 миллиона MAC-адресов как часть данных, которые он получил от создателя ботнета.

ПАРТ: Я пошел в IEEE, но они не захотели сотрудничать.

Ведущий: С помощью данных, собранных Партом из ботнета Carna, он поставил перед собой задачу попытаться решить эту проблему уязвимости Интернета. Он думал, что, связавшись с сертификатами в других странах, он мог бы помочь очистить уязвимые устройства там. Связавшись с производителями устройств, он мог бы помешать им создавать уязвимые устройства, но, похоже, не очень много сертификатов или производителей были заинтересованы в том, чтобы помочь решить проблему. Парту было трудно заставить организации обратить внимание на эту проблему. Но были некоторые люди, которые обращали внимание на эти данные. Хакеры со злым умыслом увидели, как был создан ботнет Carna, и начали создавать свои собственные ботнеты, используя точно такие же методы.

ПАРТ: Их было несколько – и я уверен, что прямо сейчас их работают сотни. Инструмент под названием Lightaidra использовал точно такую же уязвимость. Я думаю, что он был выпущен параллельно, чуть раньше, до того, как были опубликованы данные ботнета Carna.

Ведущий: В сообществе безопасности

было несколько человек, которые осудили данные, поступившие из ботнета Carna, заявив, что, поскольку данные были получены незаконно, мы не должны использовать их для каких-либо законных исследований.

ПАРТ: Я согласен, что это незаконный ботнет. Я никак не могу не согласиться с этим утверждением. Что касается использования данных, я полагаю, очевидно, что моя позиция была ясна, поскольку вы можете видеть, как я их использовал. На самом деле у меня не было никаких серьезных этических сомнений по этому поводу, но, на мой взгляд, причина, по которой я думаю, что исследователь даже потрудился предоставить нам эти данные, заключается в том, что он также хотел устранить эту проблему. Это очень ясно видно по многочисленным электронным письмам. Я отправил ему довольно много вопросов, и он продолжал отвечать на них. Когда я делал свою первую презентацию на конференции AusCERT, я отправил ему слайды, и он ответил, что доволен таким результатом.

Ведущий: По сей день создатель остается анонимным, но есть ли у вас какие-нибудь мысли о том, кто бы это мог быть?

ПАРТ: В то время, в 2012 году, хранение девяти терабайт данных было недешевым. Он должен был сохранить его, и ему пришлось сжать его с помощью ZPAQ, что невероятно дорого для процессора.

Эта декомпрессия заняла у меня целый день на высокопроизводительном вычислительном кластере с тремя сотнями процессоров. По моему разумению, я просто подумал, что у кого бы это ни было, очевидно, много денег, потому что утверждалось, что он сделал это на кластере Amazon.

Ведущий: Почему вы перестали работать с этими данными?

ПАРТ: Это битва, в которой, казалось, мы должны были победить, но я не добился никакого прогресса. Теперь мое внимание лично сместилось в сторону сосредоточения на проблемах, которые я могу решить. Всякий раз, когда необходимы подобные воздействия в масштабах всей отрасли, вы действительно должны предложить решение на уровне спецификации. Например, MAC-адреса контролируются IEEE. Если бы IEEE дал какой-то мандат на что-то, то эти производители были бы вынуждены следовать ему. В настоящее время IEEE не занимается выдачей мандатов в области безопасности.

Одна из причин, по которой я перестал много работать над этим, я ушел из AusCERT, это, во-первых, но я также не потратил сколько-нибудь значительного времени на это, потому что я думаю, что это тупик. Попытка привлечь внимание производителя через публичное лицо - это кошмар, потому что для производителей больше всего важно поддерживать хорошую репутацию. Если вы так нападаете на них, то они будут защищаться.

Им пришлось оставить учетные записи по умолчанию открытыми на случай, если устройство было настроено неправильно, чтобы служба поддержки могла удаленно дозвониться и убедиться, что все работает правильно для непрофессионала. Есть все эти требования, которые предъявляются к этим инженерам. Они делают все возможное, чтобы донести их, и иногда у них нет опыта работы в сфере безопасности, и они не обучены тому, чтобы знать об этих проблемах безопасности.

Нужно думать о своей безопасности, а также о безопасности ваших близких. Это те уроки, которые я усвоил. Для меня это был жестокий вход в индустрию безопасности. Это первое, что я сделал на этой работе. Я старался изо всех сил, но пришло время перейти к чему-то не такому душераздирающему.

Ниже можно ознакомиться с исследованием Парта:

Скомпрометированные устройства ботнета Carna
 
Ответить с цитированием