Справянето и откриването на нови софтуерни несъвършенства, дори такива, които оставят потребителите отворени за сериозни злоупотреби, отдавна са част от онлайн ежедневието. Рядко обаче виждаме толкова много и толкова масивни бъгове. През 2014 мегабъговете с чудовищни размери се редяха един след друг и караха системни администратори и обикновени потребители да се борят с лекуването на кризи в сигурността, които засягаха милиони машини, пише Wired.
Някои от бъговете, които разтресоха интернет тази година, хванаха неподготвени специалистите по сигурността, отчасти, защото не се намираха в нов софтуер - обичайното място за пропуски, които могат да бъдат хакнати. Вместо това те често бяха откривани в код, който е на години, дори десетилетия. Това вдъхнови повече хакери да търсят пропуски в стар код, който се смята за сигурен. В много от случаите резултатите бяха успокояващи. Тук е поглед над най-големите хакерски експлоити, които се разпространиха в световните мрежи през 2014.
Heartbleed
Когато криптиращият софтуер се провали, най-лошото, което обикновено се случва, е, че някои комуникации остават уязвими. Това, което прави хакерския експлоит познат като Heartbleed толкова опасен е, че той отива крачка напред. Когато Heartbleed беше разкрит през април, той позволяваше на хакери да атакуват две трети от уебсървърите на планетата, които използват отворения софтуер OpenSSL, без да разбива кодирането им, а като просто ги кара да “изплюват” произволни данни от паметта. Това би могло да позволи директната кражба на пароли, лични криптографски ключове и друга чувствителна потребителска информация. Дори след като системните администратори приложиха пачът създаден от инженера на Google Нийл Мехта и компанията за сигурност Codenomicon - които заедно откриват пропуска - потребителите не можеха да са сигурни, че паролите им не са откраднати. Като резултат Heartbleed предизвика едно от най-големите масови сменяния на пароли на всички времена.
Дори днес много уязвими OpenSSL устройства не са пачнати. Според анализ на Джон Мадърли, създателят на инструмента за сканиране Shodan, 300 хил. машини остават без пач. Много от тях вероятно са т.нар. вградени устройства, като уебкамери, принтери, сървъри за съхранение, защитни стени (firewalls) и рутери.
Shellshock
Пропускът в OpenSSL, който направи Heartbleed възможен е съществувал от над две години. Но бъгът във функцията “bash” на Unix може да спечели наградата за най-стар мегабъг, тормозещ компютрите по света. Той е оцелял неразкрит, поне не и публично, цели 25 години. Всеки Linux или Mac сървър, който включва този инструмент, може да бъде измамен, така че да се подчини на команди изпратени след определени знаци в HTTP заявка.
Резултатът беше, че часове след разкритието на бъга през септември хиляди машини бяха инфектирани с мауеър, който ги направи част от ботнет мрежи, които бяха използвани за DDoS атаки. Явно това не беше достатъчен разгром за сигурността, тъй като първоначалният пач, който беше пуснат се оказа, че също има бъг, който позволяваше да бъде заобиколен. Анализаторът по сугирността Робърт Дейвид Греъм, който първи сканира интернет, за да намери уязвими на Shellshock устройства, го нарече “малко по-лош от Heartbleed.”
POODLE
Шест месеца след като Heartbleed удари кодираните сървъри по света, друг бъг в кодирането беше намерен от екип на Google. Той удряше от другата страна на защитените връзки - компютрите и телефоните, които се свързваха към криптираните сървъри. Бъгът в SSL версия 3 позволяваше на атакуващия да “отвлече” сесията на потребителя, като така прихваща всички данни, които минават между него и предполагаемо криптираната онлайн услуга. За разлика от Heartbleed, хакерите, които се възползват от POODLE трябва да са в същата мрежа като жертвата си. Затова и тази уязвимост застрашава най-вече потребители на отворени WiFi мрежи, като клиентите на Starbucks, а не толкова системните администратори.
Gotofail
Heartbleed и Shellshock толкова силно разтърсиха специалистите по сигурността и техните общности, че те сякаш почти забравиха първия мегабъг на 2014, който засегна само потребителите на Apple. През февруари компанията разкри, че потребителите са уязвими от прихващане на интернет трафика им от всеки в локалната им мрежа. Пропускът, познат като Gotofail, е причинен от една грешно поставена команда “goto” в кода, който управлява начина по който OSX и iOS прилагат SSL и TLS криптиране. Усложнявайки си проблема Apple пусна пач за iOS, без да има готова кръпка за OSX, като по този начин просто направи бъга публичен, докато в това време остави десктоп потребителите си уязвими. Това съмнително решение дори предизвика блогпост пълен с ругатни от бивш инженер по сигурността на Apple. “Сериозно ли използвате едната си платформа, за да стоварите SSL [уязвимост] върху другата си платформа? Седя тук със своя Mac и съм уязвим към този бъг и няма нищо, което да мога да направя” пише Кристин Пагет.
BadUSB
Един от най-коварните хакове разкрити през 2014 всъщност не се възползва от конкретен пропуск в сигурността на софтуерен код, което го прави практически невъзможен за “закърпване”. Атаката, позната като BadUSB, дебютира благодарение на изследователя Карстен Нол по време на конференцията Black Hat през август и се възползва от наследствена несигурност в USB устройствата. Тъй като техният фърмуеър може да се презаписва, хакер може да създаде малуеър, който невидимо да зарази чипът контролиращ USB, вместо флаш паметта, която обикновено се сканира за вируси. Обикновена флашка например може да съдържа малуеър, който заразява файловете или се държи като клавиатура, която тайно инжектира команди в машината на потребителя.
Около половината от USB чиповете са презаписваеми и съответно уязвими към BadUSB. Тъй като производителите не разкриват какви чипове използват и често сменят доставчиците си не е възможно за потребителите да знаят кои устройства могат да са жертва на BadUSB атака. Единствената истинска защита според Нол е да третираме USB устройствата като болнични игли, които никога да не споделяме или вкарваме в непознати машини.
Нол смята разкритието си за толкова сериозно, че отказва да публикува кодът, който го доказва. Само месец по-късно друга група от изследователи пуснаха собствена версия на атаката, с което целяха да накарат създателите на чипове да поправят проблема. Въпреки че няма как да знаем дали някой е използва този код, остава знанието, че милиони USB устройства из джобовете на хора по цял свят вече няма как да се считат за безопасни.