Odkrywcy błędów mają wiele dróg do wyboru. Mogą błędy sprzedać na czarnym lub szarym rynku, mogą zgłosić producentowi i zapomnieć, mogą je także upublicznić. Ale czy mogą ich użyć do zbierania danych internautów?
Kilka tygodni temu opisaliśmy problem z ruterami Asusa z serii RT, które przy domyślnych ustawieniach pozwalają użytkownikowi na uruchomienie otwartego serwera FTP, udostępniającego pliki zawarte na podłączonym do rutera dysku USB. Niestety większość użytkowników korzystających z tej funkcji nie jest świadoma, że daje dostęp do swoich plików każdemu internaucie.
Nie denerwuj badacza
Okazuje się, że pewien badacz problem opisał i zgłosił Asusowi (wraz z jeszcze jednym błędem) w czerwcu zeszłego roku. Według opublikowanych informacji jeszcze w czerwcu kilkakrotnie kontaktował się z pracownikami Asusa, którzy najpierw oznajmili, że jest to oczekiwane zachowanie urządzenia, a następnie przestali odpowiadać na kolejne próby kontaktu. Asus na zgłoszenie nie zareagował zgodnie z oczekiwaniem badacza, zatem ten na początku lutego 2014 przeskanował całą przestrzeń adresową IPv4 , zebrał listy opublikowanych prywatnych plików i opublikował w formie pliku torrent wraz ze swoim manifestem.
W sieci znalazł się zatem prawie 800-megabajtowy plik o nazwie ASUSGATE, który zawiera listingi udostępnionych plików z kilkunastu tysięcy ruterów oraz hasła kilku tysięcy użytkowników do usługi Asusa AiCloud (możliwe do odczytania z rutera bez uwierzytelnienia). Badacz tłumaczy swoje działanie chęcią zmuszenia Asusa do załatania zgłoszonych błędów. Czy jednak na pewno tędy droga?
Kontrowersyjna sytuacja
Z jednej strony badacz, który opublikował dane, nie zwrócił najwyraźniej uwagi na fakt, że chociaż konfiguracja udostępniania plików w ruterach Asusa nie jest doskonała, to jednak użytkownicy sami podjęli niemądrą decyzję o wystawieniu swoich danych na świat. To, że Asus odmówił poprawienia tego „błędu” nie jest dla tej firmy powodem do dumy, ale nie jest to sytuacja, która uprawnia badacza do publikowania w sieci list odnalezionych plików i haseł użytkowników. Bez wątpienia Asus mógł się wykazać większym wyczuciem sytuacji i lepiej zatroszczyć o swoich klientów, ale również badacz mógł podjąć inne kroki niż kontrowersyjne publikowanie danych.
Trzeba także przyznać, że ilość tylnych furtek i zwykłych, trywialnych błędów w domowych ruterach jest przerażająca, a gorsza od niej jest tylko niefrasobliwość producentów urządzeń, którzy przez wiele lat nie potrafili lub nie chcieli tych błędów usuwać, a nawet dzisiaj często wypuszczenie nowej wersji oprogramowania zajmuje im wiele miesięcy. Do tego brak jest skutecznych mechanizmów wymuszania aktualizacji wadliwego oprogramowania, co sprawia, ze czasem tysiące klientów wystawiane są na niepotrzebne ryzyko ataków. Być może takie wydarzenia jak opisane powyżej kiedyś w końcu pomogą zmienić tą chorą sytuację.
Komentarze
Ale o co chodzi? Albo mamy do czynienia z luką i wtedy powstaje łata. Albo upieramy się, że luka nie istnieje – i wtedy przechodzimy z wiedzą do porządku dziennego. A że dane upublicznione… Pytanie, czy były one poufne. Wg. Asusa nie były.
Pierwsze zdanie w „Nie denerwuj badacza”. Albo pewien badacz, albo pewien z badaczy.
Dzięki, poprawione.
Te wszystkie chińskie, koreańskie i tajwańskie wynalazki to badzieffff
Dane te zostały udostępnione przez FTP każdy ma do nich dostęp. Badacz z nich użytek, aby uświadomić istniejący problem. Dla mnie OK.
Słabo ok. To jest jak oświadczenie gdzie leżą klucze do domów kilku tysięcy ludzi podpisane adresem. Zawsze znajdzie się pryszczaty, któremu brakuje na piwo. Ok by było opublikowanie błędu oficjalnie, bez adresów loginów i haseł, które nie są potrzebne do udowodnienia wykrycia podatności.
Już Jaruzelski mówił, że „są granice, których przekraczać nie wolno.” :)
Według mnie badacz posunął się za daleko. Oczywiście, trzeba dyscyplinować firmy stawiające głupi opór przed wzięciem na siebie odpowiedzialności za własne produkty. Jednak takie ujawnienie uderza również w użytkowników, z których nie każdy rozumie co włącza.
Tak tak, można powiedzieć, że są ciemni i sami sobie winni, ale to dla mnie nie argument. Specjaliści od bezpieczeństwa powinni uświadamiać ludzi, ale też chronić tych, którzy jeszcze się nie znają. Nie wolno karać postronnych osób.
Myślę, że lepszym krokiem byłoby zaangażowanie jakiejś znanej strony, mediów itp. (warunkiem jest to, żeby byli odpowiedzialni, a nie mieli wyłącznie parcia na szkło jak pewien znany portal). Za ich pośrednictwem narobić szumu bez ujawniania danych, które mogą zaszkodzić zwykłym użytkownikom.
Jedyną presją, jaką pojedyncza osoba może wywrzeć na opornego producenta, jest presja wkurzonych użytkowników i presja mediów.
Mediów nie zainteresujesz, grzecznie do nich pisząc o nie rozumianej przez laików podatności. To nie jest medialne. Jeśli nawet ktoś się cudem zainteresujesz, to dział PR producenta zadba już o to, żeby w ładnych słowach wytłumaczyć społeczeństwu, że problem nie istnieje, a ty jesteś noobem.
Użytkownicy sami się nie wkurzą, bo albo nie będą wiedzieli, albo nie będą rozumieli, albo nie będą w stanie docenić zagrożenia.
Masz rację – najważniejsza jest edukacja. I dlatego boli mnie, że dzieciaki po szkole wiedzą, jak zlepić tagzupową pseudostronę i zrobić jarmarcznokolorowy dokument w Wordzie97; wiedzą, jak działa komórka, DNA, jakie są wiązania chemiczne, jak obliczyć siłę przyciągania się dwóch magnesów; ale nie wiedzą, jak – nawet w zarysie – działa komputer i oprogramowanie, sieć albo szyfrowanie. Ale pojedynczy badacz nie naprawi błędów państwowej edukacji w tej kwestii.
W obecnie istniejącej sytuacji publikujący postąpił właściwie. Zdaj sobie sprawę z tego, że on nie zaatakował użytkowników. To są przypadkowe, postronne ofiary, którymi zresztą byli cały czas z powodu działań producenta. Badacz jedynie minimalnie zwiększył _krótkoterminowe_ ryzyko dla nich. Nic ponad to.
Przerabiając wypowiedź Sandalarza (wyżej): to jest jak oświadczenie, gdzie leżą podpisane adresem klucze do domów kilku tysięcy ludzi, gdy leżą one na środku Times Square.
Widzę, że szanowni komentatorzy nie mają pojęcia o działaniu producentów takiego sprzętu. Producent produkuje routery, tworzy do nich soft, sprzedaje i zgarnia kasę. Po pewnym czasie wypuszcza nową serię produktów, zapomniając o starej. Standardem jest zachowanie jak u Asusa. Nowa wersja firmware samo się nie zrobi. Trzeba zatrudnić paru ludzi. A jak można się domyślić, za minimalną krajową oni nie pracują. Ogólnie producent traci mnóstwo $$$ NIC nie zyskując. (No bo co zyskasz na routerach sprzedanych kilka lat temu?). Białe Kołnierzyki obmyśliły sobie, że jak problem będą ignorować, albo lepiej!, postraszą tego wykrywacza luk prawnikami, to zaoszczędzą te mnóstwo $$$!
Więc co ma taki wykrywacz zrobić? Ano spowodować, żeby firma przestraszyła się utraty zaufania klientów, co przełoży się na bezpośredni spadek przychodu $$$. A wtedy „może” jednak opłaci się wydać te mnóstwo $$$ i te luki załatać?