Przysłowie „szewc bez butów chodzi” sprawdza się również w świecie bezpieczeństwa. Czy może być coś gorszego niż włamanie do sieci firmy antywirusowej? Może podpisanie złośliwego oprogramowania jej zaufanym certyfikatem? Przydarzyło się to firmie Bit9.
Dzisiaj rano Twitter Security Errata zadał pytanie, czy ktoś słyszał o problemach Bit9 z bezpieczeństwem. Na kolejnych kilka godzin zapanowała cisza, aż na blogu firmy pojawił się artykuł z opisem incydentu, zapewne zainspirowany kontaktem ze strony Briana Krebsa, który w oparciu o własne źródła informacji właśnie opracowywał artykuł na ten temat.
Bit9? Co to za firma?
Część z Was mogła o Bit9 nie słyszeć. Jest to producent oprogramowania antywirusowego, opartego na innej filozofii niż pozostałe produkty. Zamiast blokować znane zagrożenia, tworzy on listę wszystkich znanych i zaufanych plików i blokuje działanie pozostałych. Ta bardzo radykalna metoda stosowana jest w środowiskach o wysokich wymaganiach bezpieczeństwa, dzięki czemu na liście ich klientów można znaleźć również połowę największych amerykańskich firm zbrojeniowych i liczne instytucje rządowe. Trzeba przyznać, że metoda może być bardzo skuteczna – oprócz zablokowania wszelkiej niedozwolonej aktywności użytkowników, aplikacja Bit9 blokuje również praktycznie każde nowe zagrożenie – czy to masowy wirus, czy plik skompilowany specjalnie na okazję jednego ataku. Metoda zabezpieczenia nad wyraz skuteczna – dopóki ktoś nie znajdzie na nią sposobu.
Oh really?
Po co włamano się do Bit9?
Wszystko wskazuje na to, że włamywacze mieli ściśle określony cel – i nie była to firma Bit9, a co najmniej 3 z jej klientów. Jako że uruchomienie własnego kodu na komputerach chronionych produktami Bit9 jest praktycznie niemożliwe, włamywacze postanowili skorzystać z jedynej, bardzo wąskiej furtki. Produkty Bit9 domyślnie ufają tylko sobie samym – zatem niezbędne było podpisanie złośliwego kodu certyfikatem producenta oprogramowania. Włamywaczom udało się dostać do infrastruktury podpisującej kod Bit9 i podpisać bliżej nieokreśloną liczbę plików. Jak przyznaje Bit9, nie przestrzegało swoich własnych rekomendacji i włamywacze wykorzystali fakt, że nie wszystkie komputery były objęte ochroną Bit9.
Kim byli włamywacze?
O dziwo w tej historii ani razu nie pada oskarżenie pod adresem Chińczyków, do którego jesteśmy ostatnio przyzwyczajeni. Nie da się jednak ukryć, że włamywanie się do serwerów podpisujących kod w firmie antywirusowej raczej nie powinno być trywialnym zadaniem – szczególnie, jeśli to włamanie ma być jedynie krokiem na drodze zdobycia dostępu gdzie indziej. Włamywaczowi musiało bardzo zależeć na dotarciu do sieci docelowej – i jak wynika z komunikatu, cel został osiągnięty. Nie znamy ani ram czasowych, ani zakresu włamania, jednak dla firmy takiej jak Bit9 jest to ogromna kompromitacja. Włamanie na stronę www można by jeszcze przeżyć, ale dotarcie włamywaczy do serwera podpisującego kod jest porażką na całej linii (choć nie jest to odosobniony przypadek – identyczny problem miało pół roku temu Adobe). Wygląda na to, że jeszcze wiele firm musi się nauczyć, jak prawidłowo zabezpieczać swoje centra certyfikacji.
Komentarze
ale haziel…
Czasem mam wrażenie, że w każdym komputerze świata jest backdoor znany wąskiej grupie osób. Historia jak z filmu;)