Мнение Одно из преимуществ кодирования заключается в том, что злой умысел может быть неотличим от некомпетентности. История прошлой недели Who, Me? о том, как программное обеспечение для тестирования финансовых переводов вышло из-под контроля, является тому примером.
Несчастный разработчик оставил код работать на ночь, который должен был перевести один цент на его тестовый счет и с него. Вместо этого он часами автоматом переводил 100 долларов. Это сработало на внутренней безопасности, но временно богатый ребенок рассказал об этом своему боссу и, таким образом, мог спокойно говорить.
А что, если бы рутина ограбления банка не была обнаружена? Наш герой пришел бы и обнаружил там огромную кассу, возможно, весьма заманчивое доказательство концепции. Не признаться было бы вредоносным, но код тот же, «признался» он или нет.
Именно над этим вопросом размышляют власти США, рассматривая возможность запрета продукции китайской компании потребительских сетей TP-Link. Они очень популярны, потому что их оборудование хорошее и надежное, но в основном потому, что они необыкновенно дешевы. Настолько дешевы, что компанию подозревают в демпинге, продаже по заниженной стоимости с целью захвата доли рынка. Однако главная причина подозрений — это прошивка маршрутизаторов. Она чрезвычайно подвержена уязвимостям, в том числе переполнению буфера, до такой степени, что простая некомпетентность кажется недостаточным объяснением.
Это похоже на теорию заговора, потому что доказательства неоднозначны. Соберите косвенные доказательства, и это будет по крайней мере правдоподобно. Если TP-Link действительно испытывает корпоративную привязанность к плохим кодерам, как получается, что функции, видимые владельцам при повседневном использовании, работают хорошо, в то время как невидимые уязвимости так распространены? Китайское законодательство обязывает все отечественные компании тайно сотрудничать с государственной безопасностью. Уже есть доказательства широко распространенного проникновения китайцев в коммуникационную инфраструктуру с помощью Salt Typhoon. Мотив, возможность, способность и история: где находится баланс вероятностей?
Можно было бы доказать, что продукция TP-Link была уникально уязвима с помощью статистического анализа, сравнивая ее с конкурентной продукцией других поставщиков. В этот момент неважно, в чем причина, ее могли бы снять с рынка из-за опасений по поводу безопасности потребителей. Это не принесло бы много пользы, учитывая огромную установленную базу и уникальную привлекательную среду, которую инфраструктура предлагает плохим парням. Она невидима для конечных пользователей, ее трудно контролировать, ее трудно обновлять, и как только что-то установлено и работает, ее очень сложно вырвать.
Отличным/ужасным примером этого является недавно раскрытая иранская атака на американские и израильские энергетические и IoT-устройства, часть семейства атак, нацеленных на широкий спектр устройств от самых разных производителей. Тот, кто создал вредоносное ПО IOCONTROL, очень компетентен и изобретателен, но на первый взгляд кажется маловероятным, что прошивка целевых устройств будет содержать преднамеренно уязвимый код иранского происхождения. У Ирана нет международных производителей ИТ-инфраструктуры, которыми можно было бы манипулировать, поскольку он заперт под санкциями. Это не должно его останавливать. Как и никого другого.
Промышленный шпионаж исключительно трудно обнаружить, пока не будут обнаружены украденные секреты. Аналогично, промышленный саботаж может быть столь же трудно отследить. Когда эта отрасль — прошивка, и злоумышленник не намерен использовать информацию обнаруживаемыми способами, это тем более так. Учитывая, насколько ценны нулевые дни для злоумышленников, насколько проще будет их использовать, если вы сами их туда поместите?
Вам даже не нужно внедрять звездного игрока в целевую компанию, достаточно кого-то достаточно компетентного, чтобы отправлять копии разрабатываемого кода обратно создателям вредоносного ПО и вносить их изменения обратно в дерево.
Имеют ли все эти компании, занимающиеся IoT, промышленным управлением и маршрутизаторами, возможность обнаруживать тщательно замаскированные уязвимости, вкрапленные вредоносными экспертами? Они не очень хороши в обнаружении некомпетентных ошибок, учитывая множество оповещений, которые генерирует отрасль.
Поймать коррумпированных кодеров всегда будет сложно, если только их собственная opsec не плоха. Также крайне неловко выносить это на публику, когда вы это делаете. Даже в службах безопасности и армии, где сотрудники регулярно проверяются, а контрразведка является специальностью, эта работа все еще очень сложна. Не то чтобы идеология или враждебность были нужны, чтобы склонить кого-то к греху: деньги и лесть справляются с этой задачей так же хорошо.
Дело не в том, происходит ли это на самом деле. Возможности слишком велики, риск слишком мал, а затраты слишком скромны, чтобы им сопротивляться. Вопрос в том, как это найти, учитывая, что никто, похоже, не ищет. Компания, ответственная за уязвимость, несет ответственность за ее устранение, но не за отслеживание того, как она появилась и кто был замешан. Нет ни одного агентства, отслеживающего и сопоставляющего эту информацию, если только национальная безопасность не имеет к этому прямого отношения.
Это только что: это так. Мы просто не верим в это на самом деле. Пока мы этого не сделаем, существует целая отраслевая метауязвимость, которая остается совершенно неконтролируемой. Лучше в это поверить. ®