Убедитесь в том, что ваши разработчики знают правила безопасной разработки приложений и посещаются профильные ресурсы по этой тематике
Автор: Andrew Tierney
Некоторое время назад на веб-сайте BBC появилась новость о том, как один из сотрудников этого канала смог посмотреть в мобильном приложении чужое видео, снятое домашней камерой.
Не совсем понятно, как подобное могло случиться, но мы были заинтригованы и решили купить несколько камер и разобраться, как обстоят дела с безопасностью в этих устройствах.
Вместо эпилога
Мы успешно переключили видеопоток с одной камеры на другую через облачный сервис. Эта тема не связана с первоначальной историей.
Кроме того, мы также обнаружились несколько других интересных проблем.
Справедливости ради стоит отметить, что сотрудники Swann были очень отзывчивы и быстро предприняли меры по защите от подобного рода атак. Главный технический специалист этой компании был очень инициативен и звонил нам ежедневно. Найденная уязвимость была быстро нейтрализована.
Совсем другая история с провайдером облачных решений Ozvision. Подозреваем, что специалисты этой компании впервые узнали о проблеме около 9 месяцев назад, но удосужились решить вопрос только после того, как в дело вмешались из Swann. Мы уверены, что данная уязвимость была в продукции одного из известных брендов, который пользовался облачными технологиями вышеупомянутой компании. Изначально специалисты Ozvision отфутболивали все вопросы, касающиеся найденной проблемы, обратно в Swann.
Подопытная камера
Исследуемая HD-камера работает от батареи и может транслировать видео как через локальную сеть, так и через облачный сервис. Выглядит довольно симпатично, а батарея работает достаточно долго. После исследования аппаратной части и приложения стало понятно, что мы имеем дело с камерой с широким углом обзора и телеобъективом. Облачные технологии предоставляет компания Ozvision.
После изучения API и APK я быстро понял, что серийный номер (swnxxxxxxxxx) является главным идентификатором в платформе, с которой работает камера. Серийный номер, который легко найти в мобильном приложении, используется как в веб-API компании Swann, так и в P2P-туннеле провайдера OzVision.
При авторизации в системе делается запрос к userListAssets. В ответ приходит список устройств, привязанных к учетной записи. Обычно в перечне находятся камеры подлинных владельцев.
После изменения серийного номера (device id) в ответе от сервера в мобильном приложении стали отображаться детали чужой камеры. Мы использовали утилиту Charles, но Burp и MITMproxy также подойдут.
В веб-приложении достаточно нажать «play», после чего формируется запрос к deviceWakeup с использованием модифицированного серифного номера. Затем на базе измененного номера формируется туннель к облачному сервису. Теперь можно смотреть видео в режиме реального времени.
На рисунке ниже показан снимок с чужой камеры, которая находится в 200 милях от нас.
В общем, обмануть приложение оказалось достаточно просто.
Поиск серийных номеров других камер
Пока что мы работали только со своими камерами, что не так интересно.
Формат серийного номера – строка swn и 9 шестнадцатеричных символов. В принципе, большое количество комбинаций, однако не настолько огромное. Наш коллега Vangelis , получивший лучи славы после нахождения уязвимостей в Tapplock API, поразмыслил над нашей ситуацией и пришел к выводу, что в запросе доступен перебор значений:
1.1/osn/deviceIsOwned
1.1/osn/AccountAddDevice – этот запрос выдает ошибку, если камера уже привязана. Таким образом, мы можем определить, существует серийный номер, как показано в мобильном приложении на рисунке ниже:
Мы полагаем, что весь массив серийных номеров может быть проверен всего за 3 дня, если перебор сделать распределенным.
Теперь понятно, что любой желающий может получить доступ к чужим камерам. Мы экспериментировали только с камерами, находящимися в нашем распоряжении, поскольку не очень этично смотреть чужие видео без разрешения владельцев устройств. Однако факт того, что подобная возможность существует, доказан.
Раскрытие уязвимости
Поскольку сотрудники BBC уже связывались со специалистами из Swann после предыдущей истории, мы тоже попросили об аудиенции. После непродолжительных терок с PR-агентством нам позвонил главный технический специалист, который оказался очень отзывчивым человеком.
В Swann полагают, что обнаружили некоторые из наших некорректных запросов, после чего были внесены корректировки в API. Мы считаем, что было обнаружено нечто другое: наши запросы к API были на предмет существования серийного номера. По нашему мнению, очень сложно отследить факт переключения видео потока, поскольку наши действия укладывались в рамки обычных операций с API и мобильным приложением.
Кроме того, утверждалось, что несколькими днями ранее на стороне облачного провайдера Ozvision также были внесены исправления. Тем же вечером мы выяснились, что замена серийных номеров и подключение к чужим видеопотокам все еще доступны.
Хотя уже следующим утром наш метод перестал работать. По крайней мере, теперь проблема была окончательно решена.
После того как возникла угроза публичного разглашения, уязвимость была быстро исправлена. На наш взгляд, очень хороший результат, и только позитивные впечатления от сотрудничества с компанией Swann. Конечно, было бы намного лучше, если этой бреши не существовало бы изначально, но быстрая реакция и результативные действия по исправлению проблемы заслуживают не меньшего уважения.
Другие находки
Мы обнаружили очень странную проблему в одной из камер. Периодически после отключения от Wi-Fi настройки сбрасывались, и камера переводилась в режим точки доступа. Теперь каждый, находящийся вне вашего дома, может восстановить ключ PSK и подключиться к сети Wi-Fi.
Однако эта проблема существовала только в одной из камер со старой прошивкой, а сам механизм атаки был нестабилен. Мы не смогли добиться устойчивого эффекта, а в компании Swann также не смогли сказать что-либо вразумительное, касаемо наших догадок. В общем, пока откладываем исследование этого вопроса в сторону, поскольку угроза не опасна.
Локальные атаки, когда у злоумышленника есть физический доступ к устройству, также являются весьма интересными. Камеру можно прикрепить снаружи дома для отслеживания недоброжелателей, однако устройство крепится на магнит и легко снимается. Сняв камеру, злоумышленник может сбросить настройки до заводских, после чего, как обнаружил мой коллега Крис, возникают некоторые проблемы.
В руководстве на камеру говорится, что после сброса настроек, конфигурация подключения беспроводной сети также сбрасывается. Мы заметили, что файл wpa_supplicant.conf перезаписывается, как и утверждалось в мануле, однако в логах устройства хранится SSIDи PSK! Проблема исправлена в более поздних версиях прошивки.
После сброса настроек камера переходит в так называемый мягкий режим, когда каждый может подключиться к устройству без PSK. Далее злоумышленник по логам может восстановить PSK и подключиться к домашней сети Wi-Fi:
FTP-шелл с правами суперпользователя
После подключения к «мягкой» точке доступа мы обнаружили открытый FTP и архив обновлений прошивки «electra_upgrade.7z», внутри которого был файл squashfs.
Эта файловая система содержала файл /etc/shadow, в котором пароль суперпользователя был зашифрован при помощи алгоритма MD5Crypt (самый слабый алгоритм хеширования). В течение нескольких минут при помощи утилиты John the Ripper был обнаружен пароль «twipc». Теперь у нас появился FTP-шелл с правами суперпользователя.
Далее злоумышленник может заменить прошивку и организовать более надежный шелл.
Несмотря на то, что проблема, связанная со сменой серийного номера, была решена, мы предполагаем, что, скорее всего, была поставлена заплатка, вместо полноценного обновления. Теперь при попытке отправить поддельный запрос возникает звуковой сигнал. Если отсылать множество таких запросов, то в скором времени может истощиться батарея. Возможно, вскоре выйдет более адекватное обновление.
Во время последующих исследований после наших первоначальных находок мы обнаружили статью , где описывалась схожая атака на облачный сервис провайдера Ozvision для камер FLIR-FX. Сей факт наталкивает нас на мысль, что в компании Ozvision знали или, по крайней мере, должны были знать об этой уязвимости в течение года. В результате поискового запроса в Гугле по фразе «Lorex» + «Ozvision» ссылка на ту заметку оказалась первой в списке!
Более серьезные проблемы в облачном сервисе
В нашем распоряжении также были камеры FLIR-FX / Lorex, и мы смогли протестировать проблемы, найденные командой Depth Security.
К сожалению, в этих камерах тоже оказалась уязвимость, связанная с заменой серийного номера.
То есть несмотря на то, что статья в блоге появилась в октябре 2017 года, и в компании FLIR знали об уязвимости (можете ознакомиться с окончанием заметки), ни Ozvision, ни Lorex не выпустили никаких обновлений. Важно заметить, что FLIR продала Lorex компании Dahua в феврале 2018 года, и, возможно, уязвимость потерялась во время продажи? Хотя подобные оправдания в пользу бедных.
Итоги
Проблема с подменой серифного номера исправлена.
В более новых прошивка будет (или уже решена) проблема со сбросом настроек и хранением ключа в логах.
Также ожидается решением проблемы, связанная с паролем суперпользователя.
Совет
Как рядовому потребителю мне не очень хочется, чтобы кто-то имел доступ к моей камере. В компании Swann отреагировали оперативно и исправили уязвимость в кратчайшие сроки.
Однако проблемы облачного сервиса Ozvision более серьезные. Кажется, в компании знали об уязвимости в течение длительного времени, но ничего не предпринимали. Я разочарован тем, что только после упоминания в средствах массовой информации, ситуация сдвинулась с мертвой точки.
Заключение
Производители IoT-устройств при интеграции сторонних сервисов должны убедиться, что уровень безопасности этих сервисов на должном уровне.
Представьте, что произойдет, если хакер обнаружил бы эту уязвимость и не стал рассказывать общественности о своих находках? Информация ваших покупателей и видеопотоки оказались бы доступны по всему интернету. Как минимум, пострадала бы ваша репутация, или даже, возможно, возникли бы проблемы в рамках регламента GDPR.
Не доверяйте провайдерам сторонних служб на слово, а проверяйте все самостоятельно и вдумчиво.
Провайдерам облачных сервисов для IoT-устройств не следует путать аутентификацию с авторизацией. Критически важно, чтобы пользователь мог видеть исключительно свой личный контент. Убедитесь в том, что ваши разработчики знают правила безопасной разработки приложений и посещаются профильные ресурсы по этой тематике, как, например, портал SecurityLab.ru.
После этого инцидента продукция компании Swann должна стать намного более безопасной, поскольку мы нашли не только уязвимости в устройстве. Звучит немного противоречиво, но по своему опыту могу сказать, что после нахождения брешей в продукции известных брендов безопасность в целом также улучшается. Бизнесу совсем не хочется повторно наталкиваться на инциденты, связанные с безопасностью, и, таким образом, выделяются дополнительные инвестиции на улучшение соответствующих процессов.
Рекомендую обновить мобильное приложение и прошивку для камер Swann. Тогда ваша безопасность станет чуточку лучше.
В статье мы расскажем о наиболее интересных стартапах в области кибербезопасности, на которые следует обратить внимание.
Хотите узнать, что происходит нового в сфере кибербезопасности, – обращайте внимание на стартапы, относящиеся к данной области. Стартапы начинаются с инновационной идеи и не ограничиваются стандартными решениями и основным подходом. Зачастую стартапы справляются с проблемами, которые больше никто не может решить.
Обратной стороной стартапов, конечно же, нехватка ресурсов и зрелости. Выбор продукта или платформы стартапа – это риск, требующий особых отношений между заказчиком и поставщиком . Однако, в случае успеха компания может получить конкурентное преимущество или снизить нагрузку на ресурсы безопасности.
Ниже приведены наиболее интересные стартапы (компании, основанные или вышедшие из «скрытого режима» за последние два года).
Компания Abnormal Security, основанная в 2019 году, предлагает облачную платформу безопасности электронной почты, которая использует анализ поведенческих данных для выявления и предотвращения атак на электронную почту. Платформа на базе искусственного интеллекта анализирует поведение пользовательских данных, организационную структуру, отношения и бизнес-процессы, чтобы выявить аномальную активность, которая может указывать на кибератаку. Платформа защиты электронной почты Abnormal может предотвратить компрометацию корпоративной электронной почты, атаки на цепочку поставок , мошенничество со счетами, фишинг учетных данных и компрометацию учетной записи электронной почты. Компания также предоставляет инструменты для автоматизации реагирования на инциденты, а платформа дает облачный API для интеграции с корпоративными платформами, такими как Microsoft Office 365, G Suite и Slack.
Копания Apiiro вышла из «скрытого режима» в 2020 году. Ее платформа devsecops переводит жизненный цикл безопасной разработки «от ручного и периодического подхода «разработчики в последнюю очередь» к автоматическому подходу, основанному на оценке риска, «разработчики в первую очередь», написал в блоге соучредитель и генеральный директор Идан Плотник . Платформа Apiiro работает, соединяя все локальные и облачные системы управления версиями и билетами через API. Платформа также предоставляет настраиваемые предопределенные правила управления кодом. Со временем платформа создает инвентарь, «изучая» все продукты, проекты и репозитории. Эти данные позволяют лучше идентифицировать рискованные изменения кода.
Axis Security Application Access Cloud – облачное решение для доступа к приложениям , построенное на принципе нулевого доверия. Он не полагается на наличие агентов, установленных на пользовательских устройствах. Поэтому организации могут подключать пользователей – локальных и удаленных – на любом устройстве к частным приложениям, не затрагивая сеть или сами приложения. Axis вышла из «скрытого режима» в 2020 году.
BreachQuest, вышедшая из «скрытого режима» 25 августа 2021 года, предлагает платформу реагирования на инциденты под названием Priori. Платформа обеспечивает большую наглядность за счет постоянного отслеживания вредоносной активности. Компания утверждает, что Priori может предоставить мгновенную информацию об атаке и о том, какие конечные точки скомпрометированы после обнаружения угрозы.
Cloudrise предоставляет услуги управляемой защиты данных и автоматизации безопасности в формате SaaS. Несмотря на свое название, Cloudrise защищает как облачные, так и локальные данные. Компания утверждает, что может интегрировать защиту данных в проекты цифровой трансформации. Cloudrise автоматизирует рабочие процессы с помощью решений для защиты данных и конфиденциальности. Компания Cloudrise была запущена в октябре 2019 года.
Cylentium утверждает, что ее технология кибер-невидимости может «скрыть» корпоративную или домашнюю сеть и любое подключенное к ней устройство от обнаружения злоумышленниками. Компания называет эту концепцию «нулевой идентичностью». Компания продает свою продукцию предприятиям, потребителям и государственному сектору. Cylentium была запущена в 2020 году.
Компания Deduce , основанная в 2019 году, предлагает два продукта для так называемого «интеллектуального анализа личности». Служба оповещений клиентов отправляет клиентам уведомления о потенциальной компрометации учетной записи, а оценка риска идентификации использует агрегированные данные для оценки риска компрометации учетной записи. Компания использует когнитивные алгоритмы для анализа конфиденциальных данных с более чем 150 000 сайтов и приложений для выявления возможного мошенничества. Deduce заявляет, что использование ее продуктов снижает ущерб от захвата аккаунта более чем на 90%.
Автоматизированная платформа безопасности и соответствия Drata ориентирована на готовность к аудиту по таким стандартам, как SOC 2 или ISO 27001. Drata отслеживает и собирает данные о мерах безопасности, чтобы предоставить доказательства их наличия и работы. Платформа также помогает оптимизировать рабочие процессы. Drata была основана в 2020 году.
FYEO – это платформа для мониторинга угроз и управления доступом для потребителей, предприятий и малого и среднего бизнеса. Компания утверждает, что ее решения для управления учетными данными снимают бремя управления цифровой идентификацией. FYEO Domain Intelligence («FYEO DI») предоставляет услуги мониторинга домена, учетных данных и угроз. FYEO Identity будет предоставлять услуги управления паролями и идентификацией, начиная с четвертого квартала 2021 года. FYEO вышла из «скрытого режима» в 2021 году.
Kronos – платформа прогнозирующей аналитики уязвимостей (PVA) от компании Hive Pro , основанная на четырех основных принципах: предотвращение, обнаружение, реагирование и прогнозирование. Hive Pro автоматизирует и координирует устранение уязвимостей с помощью единого представления. Продукт компании Artemis представляет собой платформу и услугу для тестирования на проникновение на основе данных. Компания Hive Pro была основана в 2019 году.
Израильская компания Infinipoint была основана в 2019 году. Свой основной облачный продукт она называет «идентификация устройства как услуга» или DIaaS , который представляет собой решение для идентификации и определения положения устройства. Продукт интегрируется с аутентификацией SSO и действует как единая точка принуждения для всех корпоративных сервисов. DIaaS использует анализ рисков для обеспечения соблюдения политик, предоставляет статус безопасности устройства как утверждается, устраняет уязвимости «одним щелчком».
Компания Kameleon , занимающаяся производством полупроводников, не имеет собственных фабрик и занимает особое место среди поставщиков средств кибербезопасности. Компания разработала «Блок обработки проактивной безопасности» (ProSPU). Он предназначен для защиты систем при загрузке и для использования в центрах обработки данных, управляемых компьютерах, серверах и системах облачных вычислений. Компания Kameleon была основана в 2019 году.
Облачная платформа безопасности данных Open Raven предназначена для обеспечения большей прозрачности облачных ресурсов. Платформа отображает все облачные хранилища данных, включая теневые облачные учетные записи, и идентифицирует данные, которые они хранят. Затем Open Raven в режиме реального времени отслеживает утечки данных и нарушения политик и предупреждает команды о необходимости исправлений. Open Raven также может отслеживать файлы журналов на предмет конфиденциальной информации, которую следует удалить. Компания вышла из «скрытого режима» в 2020 году.
Компания Satori, основанная в 2019 году, называет свой сервис доступа к данным “DataSecOps”. Целью сервиса является отделение элементов управления безопасностью и конфиденциальностью от архитектуры. Сервис отслеживает, классифицирует и контролирует доступ к конфиденциальным данным. Имеется возможность настроить политики на основе таких критериев, как группы, пользователи, типы данных или схема, чтобы предотвратить несанкционированный доступ, замаскировать конфиденциальные данные или запустить рабочий процесс. Сервис предлагает предварительно настроенные политики для общих правил, таких как GDPR , CCPA и HIPAA .
Компания Scope Security недавно вышла из «скрытого режима», будучи основана в 2019 году. Ее продукт Scope OmniSight нацелен на отрасль здравоохранения и обнаруживает атаки на ИТ-инфраструктуру, клинические системы и системы электронных медицинских записей . Компонент анализа угроз может собирать индикаторы угроз из множества внутренних и сторонних источников, представляя данные через единый портал.
Основным продуктом Strata является платформа Maverics Identity Orchestration Platform . Это распределенная мультиоблачная платформа управления идентификацией. Заявленная цель Strata – обеспечить согласованность в распределенных облачных средах для идентификации пользователей для приложений, развернутых в нескольких облаках и локально. Функции включают в себя решение безопасного гибридного доступа для расширения доступа с нулевым доверием к локальным приложениям для облачных пользователей, уровень абстракции идентификации для лучшего управления идентификацией в мультиоблачной среде и каталог коннекторов для интеграции систем идентификации из популярных облачных систем и систем управления идентификацией. Strata была основана в 2019 году.
SynSaber , запущенная 22 июля 2021 года, предлагает решение для мониторинга промышленных активов и сети. Компания обещает обеспечить «постоянное понимание и осведомленность о состоянии, уязвимостях и угрозах во всех точках промышленной экосистемы, включая IIoT, облако и локальную среду». SynSaber была основана бывшими лидерами Dragos и Crowdstrike.
Traceable называет свой основной продукт на основе искусственного интеллекта чем-то средним между брандмауэром веб-приложений и самозащитой приложений во время выполнения. Компания утверждает, что предлагает точное обнаружение и блокирование угроз путем мониторинга активности приложений и непрерывного обучения, чтобы отличать обычную активность от вредоносной. Продукт интегрируется со шлюзами API. Traceable была основана в июле 2020 года.
Компания Wiz, основанная командой облачной безопасности Microsoft, предлагает решение для обеспечения безопасности в нескольких облаках, рассчитанное на масштабную работу. Компания утверждает, что ее продукт может анализировать все уровни облачного стека для выявления векторов атак с высоким риском и обеспечивать понимание, позволяющее лучше расставлять приоритеты. Wiz использует безагентный подход и может сканировать все виртуальные машины и контейнеры. Wiz вышла из «скрытого режима» в 2020 году.
Работает на CMS “1С-Битрикс: Управление сайтом”
buy credit card dumps cc store online