Lietuvos IT saugumo ekspertų bendruomenėje kilo daug emocijų ir pasipiktinimo dėl „Telia“ saugumo spragos paviešinimo: kas vyksta? (5)
Prieš kelias dienas internete buvo publikuotas daug emocijų ir pasipiktinimo gana siauroje IT saugumo ekspertų bendruomenėje sukėlęs vadinamasis „atsakingas paviešinimas“ – kibernetinio saugumo specialisto sukurta ataskaita apie kritinę saugumo spragą mobiliojo ryšio ir interneto operatoriaus „Telia“ tinkluose.
Prisijunk prie technologijos.lt komandos!
Laisvas grafikas, uždarbis, daug įdomių veiklų. Patirtis nebūtina, reikia tik entuziazmo.
Sudomino? Užpildyk šią anketą!
Ir tos emocijos bei pasipiktinimas leido padaryti aiškią išvadą: net ir tokioje „kietoje“ veiklos srityje, kaip kibernetinis saugumas, gali kilti nesuderinamų nuomonių skirtumų dėl tokių, atrodytų, elementarių sąvokų, kaip „kibernetinio saugumo spraga“ arba „spragos užtaisymas“.
Programišiaus pusė
Savęs nei vardu, nei pavarde, nei pseudonimu neidentifikavęs programišius išplatino štai šią „Telia“ kibernetinio saugumo situacijos analizę.
Joje sudaroma nuomonė, jog „Telia“ kibernetinio saugumo praktika yra netinkama, į pranešimus apie saugumo trūkumus reaguojama netinkamai, o patiems pranešėjams apie saugumo problemas tarsi grasinama.
Pirmasis ataskaitos autoriaus priekaištas – kad „Telia“ suteikia galimybę savitarnos svetainėje prie savo paskyros prisijungusiems klientams pakeisti namuose esančio maršrutizatoriaus prisijungimo slaptažodį. Programišiaus teigimu, maršrutizatorius netikrina, ar jis bendrauja su tikruoju „Telia“ serveriu, todėl jį galima pakeisti specialiai parengta „serverio kaliause“ (angl. „spoof“). Ir tai, savo ruožtu, programišiui suteikė universalų prisijungimo prie maršrutizatoriaus prisijungimo vardą bei slaptažodį (o tyrėjas jį sukritikavo kaip per silpną), kuris po tokio prisijungimo suteikia kur kas daugiau teisių vartotojui, nei jo paties įprastinis slaptažodis (pvz., atsirastų galimybė išjungti ugniasienę ar pakaitalioti kitus nustatymus, kurie įprastai klientams nėra prieinami).
Antrasis priekaištas – teorinė galimybė vykdyti neautorizuoto vartotojo komandas nuotoliniu būdu (RCE – Remote Command Execution). Įprastiniu atveju tai būtų milžiniška spraga, kuri suteiktų galimybę perimti visišką viso „Telia“ tinklo (galimai – net ne vien Lietuvoje) valdymą, nes nuotolinį komandų vykdymą galintis atlikti programišius gali suteikti sau išskirtines sistemos naudotojo privilegijas bei teises, prisikurti begales prisijungimo galimybių ir panaudoti visus „Telia“ klientų įrenginius kaip „zombius“, iš kurių būtų sudarytas turbūt didžiausias pasaulyje „botnetas“.
Bet tai – tik teorinė galimybė. Praktiškai šios tariamos spragos pats ataskaitos autorius nesugebėjo išnaudoti ir pripažino, kad tai yra sunku, tam reikia daugiau laiko ir daugiau žinių apie „Telia“ tarnybinę stotį.
Trečias skundas, kuris turėtų priversti sunerimti kiekvieną, kuris yra susidūręs su vartotojų duomenų saugojimu įmonėje, – ataskaitoje pateikiamas teiginys, kad „Telia“ žino visų savo vartotojų asmeninius prisijungimo prie maršrutizatoriaus slaptažodžius, dėl ko tų slaptažodžių nereikėtų naudoti jokioms kitoms paskyroms.
Ir turbūt daugiausiai atgarsių vietos bei tarptautinėje kibernetinio saugumo bendruomenėje sulaukęs šio „atsakingo paviešinimo“ autoriaus skundas – kad „Telia“ atstovai jam tariamai grasino (t. y., parašė laišką, kurio tiksliai cituojamas turinys yra toks: „Dėkojame už informaciją. Ar tikrai tyrimą atlikote ir neviešus elektroninius duomenis rinkote nepažeidžiant galiojančių įstatymų?“).
Taip pat programišius kritikuoja „Telia“ už tai, kad jokių klaidų, susijusių su šia ataskaita, „Telia“ nepašalino, ir tik vieną iš trūkumų taisė (bet neužtaisė).
Ataskaitos autorius nurodė, kad informacija apie saugumo trūkumus įmonei „Telia“ nusiųsta spalio pabaigoje, o po mėnesio, pasiklausus, ar imtasi kokių nors veiksmų dėl tos informacijos, jis gavo tą „grasinantį“ laišką ir žinią, kad „viskas sutaisyta“. Praėjus dar pusei metų, pagal įprastines „atsakingo paviešinimo“ etikos taisykles (pirmiausiai pranešti apie trūkumus sistemų savininkui, suteikti jam tris mėnesius, pusmetį ar kitą laiko periodą trūkumų pašalinimui ir tik po to žinią viešinti), pasidalino informacija viešai.
„Telia“ pusė
Mobiliojo ir interneto ryšio operatorius savo oficialiame komentare, skirtame šiam saugumo trūkumų nagrinėjimui, nurodė, jog tai, ką ataskaitos autorius įvardino kaip saugumo spragas, iš tiesų arba visai nėra saugumo spragos, arba jau buvo užtaisytos kur kas anksčiau, nei buvo kreiptasi į „Telia“ su pranešimu.
Mat programišiaus pateiktame veiksmų kalendoriuje trūksta kelių kritiškai svarbių eilučių. Pirmoji eilutė turėtų būti pažymėta 2019 m. vasario mėnesiu – būtent tada, „Telia“ saugumo ekspertų manymu, buvo atlikti veiksmai, aprašyti ataskaitoje. Antroji eilutė – 2019 m. kovo mėnuo, kai suplanuoto sistemų atnaujinimo ciklo metu buvo užpildyta viena saugumo spraga (susijusi su KEX algoritmu), o tų pačių metų liepos mėnesį, iškart po libssh2 saugumo spragos paviešinimo ir kūrėjo paskelbto spragos užtaisymo, „Telia“ užtaisė ir tą skylę. Kodėl buvo taip ilgai delsiama iki informacijos pateikimo „Telia“ ekspertams – nėra žinoma.
Kitaip tariant, „Telia“ tvirtina, kad ataskaitos autorius įžūliai meluoja nurodydamas, kad libssh2 saugumo spraga nėra užtaisyta „atsakingo paviešinimo“ metu, kai ji iš tiesų buvo užtaisyta beveik metais anksčiau, dar iki persiunčiant kritiką dėl galimai netinkamos kibernetinio saugumo praktikos.
Maža to, sprendžiant pagal įmonės atstovo komentarą, į įžūlų melą panašus ir teiginys apie tai, kad „Telia“ gali sužinoti savo klientų prisijungimo prie maršrutizatoriaus slaptažodžius: įmonės atstovai tvirtina, kad jokių galimybių sužinoti tuos slaptažodžius nėra, juos galima tik pasikeisti (kas yra įprasta praktika bet kokioje sistemoje, atpažįstančioje vartotoją pagal slaptažodį).
Prisijungimo prie maršrutizatoriaus galimybę „Telia“ įvertino kaip mažai reikšmingą piktavaliams veikėjams.
„Vienintelis paviešinto maršrutizatorių slaptažodžio praktinis panaudojimas, turint pakankamai techninių žinių, apsiriboja tik galinės įrangos konfigūravimo galimybių išplėtimu. Paprastai sakant, iki tokių pačių, kokias nustato gamintojai įsigijus juos bet kurioje parduotuvėje. Telekomunikacijų bendrovės maršrutizatorius apriboja dėl didesnio saugumo, geresnio suderinamumo, sklandesnio paslaugų teikimo ir galimybės šalinti gedimus nuotoliniu būdu. Pavyzdžiui, standartiškai „Telia“ teikiamuose maršrutizatoriuose per vartotojo meniu nėra galimybės išjungti ugniasienę (angl. „firewall“) ir taip sumažinti apsaugos lygį. O „paprastuose“ įrenginiuose, kuriuos galima įsigyti parduotuvėse, tokie saugikliai dažniausiai nenumatyti ir visiška atsakomybė už saugumą ir kitą techninę konfigūraciją tenka pačiam vartotojui“, – rašoma įmonės komentare.
Prisijungimo prie vartotojo maršrutizatoriaus galimybę, kurią programišius pavadino „landa“ (angl. backdoor), „Telia“ atstovai įvardino kaip „normalią, rinkoje įprastą praktiką“, kuri paslaugų teikėjui suteikia galimybę valdyti vartotojui teikiamas paslaugas, atnaujinti maršrutizatoriaus programinę įrangą, diagnozuoti ir šalinti jo įrangos programinius gedimus ir panašiai. O prisijungimo vardo ir slaptažodžio kombinacija, kuri buvo paviešinta ataskaitoje, galioja tik seniesiems ADB maršrutizatoriams, kurie jau ganėtinai ilgą laiką yra nemokamai keičiami į naujesnio tipo. Toks prisijungimas suteikia išplėstinio tų maršrutizatorių valdymo iš galimybes paslaugų teikėjui.
Kalbant apie tą grėsmingąją RCE įsilaužimo galimybę, ji, kaip jau minėta, ne tik kad nebuvo ataskaitos autoriaus išnaudota praktiškai, bet ir panaikinta teoriškai, dar liepos mėnesį, likus pusmečiui iki ataskaitos pateikimo „Telia“ darbuotojams.
„Saugumo spragų viešinimo svetainėje minima teorinė galimybė nuotoliniu būdu prisijungti prie „Telia“ serverių ir daryti įtaką tinklo veiklai yra visiška spekuliacija, kurios įgyvendinimo nepatvirtina nei „Telia“ atliktas išsamus tyrimas, nei pats įsilaužėlis. Todėl jokios realios grėsmės „Telia“ tinklo, serverių ar ryšio kanalų saugumui nebuvo“, – nurodo įmonės atstovai.
„Esame dėkingi etiškai veikiantiems ir apie aptiktas saugumo spragas informuojantiems asmenims, kurių informacijos niekada neignoruojame, labai atidžiai ją tikriname, o aptiktus trūkumus – taisome. Tačiau labai neigiamai vertiname neatsakingai platinamą pasenusią informaciją ir teorines spekuliacijas bei pusiau teisingas interpretacijas, kurios skatina žmonių nesaugumo jausmą. Be to, „Telia“ niekada negrasino savo informatoriams, o tokius teiginius vertiname kaip šmeižtą“, – programišiaus teiginį apie „bandymą grasinti“, pakomentavo „Telia“.
Įmonės atstovas spaudai Audrius Stasiulaitis taip pat teigė, jog visai natūralu gavus tokią informaciją užduoti klausimą, kokiu būdu – ir ar teisėtai – asmuo sugebėjo prisijungti prie įmonės įrangos taip, kaip įprastai neturėtų būti galima.
Kalbant apie išplėstines valdymo teises suteikiančio prisijungimo vardo ir slaptažodžio nekeitimą, „Telia“ nurodė, jog tai nieko nepakeistų – specifinių techninių įgūdžių turintis asmuo, savo rankose turėdamas „Telia“ maršrutizatorių, tą slaptažodį ir vėl nesunkiai sužinotų, bet su tuo slaptažodžiu nedaug ką tegalėtų nuveikti.
Tuo tarpu dar vieną kritikos punktą – kad „Telia“ nesaugo klientų nuo vadinamųjų „Man in the middle“ (MITM) atakų – įmonė atrėmė nurodydama, jog telekomunikacijų operatoriai įprastiniams privatiems klientams tokios paslaugos tiesiog neteikia (ir tai nėra „Telia“, tačiau pasaulinė praktika), todėl kritika dėl to tik parodo kritikuojančiojo asmens nesigaudymą ryšių rinkos veikloje.
Nepriklausomo kibernetinio saugumo eksperto pusė
Nei su viena, nei su kita šio ginčo puse nesusijęs kibernetinio saugumo ekspertas (vardas ir pavardė redakcijai žinomi), kurio darbo patirtis šioje srityje yra penkeri metai, buvo linkęs palaikyti įmonės klaidas išviešinusio eksperto poziciją, tačiau pažingsniui aptarinėjant kiekvieną konkretų programišiaus teiginį ir „Telia“ pateiktą komentarą bei aplinkybių išaiškinimą, jo nuomonė dėl kai kurių klausimų keitėsi.
Nepriklausomas ekspertas nurodė, kad nėra jokio pagrindo netikėti „Telia“ teigimu, kad libssh2 spraga buvo užtaisyta liepos mėnesį, taip, kaip nurodė bendrovė. Kita vertus, tai tėra įmonės teiginiai prieš saugumo eksperto teiginius: nepriklausomi specialistai, be grėsmės pažeisti įstatymus ir dėl to būti patraukti į teismą, tokių dalykų patikrinti neturi galimybės.
Tai galima priimti kaip pripažinimą, jog ataskaitos autorius, nurodydamas, kad libssh2 saugumo spraga iki šiol nėra užtaisyta, galimai nurodė netiesą. Tai jokiu būdu nereiškia, kad visa ataskaita yra sufabrikuota sąmoningai ir piktybiškai, bet jos autoriaus pozicija dėl to smarkiai susvyravo.
Taip pat „žodžiais prieš žodžius“ jis linkęs vadinti ir ataskaitos autoriaus bei „Telia“ skirtingas versijas dėl vartotojų maršrutizatorių slaptažodžių saugojimo tekstiniu pavidalu.
Visgi ir su 15min bendravęs ekspertas, ir daugelis kitų šį klausimą socialiniuose tinkluose aptarinėjusių skaitmeninio saugumo srities atstovų buvo linkę „Telia“ laišką ataskaitos autoriui vertinti kaip grasinimą. Anot jo, už įmonės saugumą atsakingi asmenys su trūkumus nurodžiusiu asmeniu taip bendrauti neturėtų, o didesnėje rinkoje su stipresne saugumo ekspertų bendruomene ir geresniu visuomenės suvokimu apie skaitmeninio saugumo klausimus bendrovė apskritai tik padėkotų, atsiprašytų už padarytas klaidas, jas skubiai užtaisytų ir dirbtų toliau.
„Aš šiame raporte matau vieną klaidą: ataskaitą parengęs asmuo savo dokumentui suteikė paties sugalvotą kibernetinės spragos CVE kodą, kurį turėtų suteikti organizacija „Mitre“. Tai nėra gerai, nes šį kodą patikrinti ir įsitikinti jo tikrumu nėra sudėtinga.
Bet kalbant apie „Responsible disclosure“ ataskaitą, CVE kodo priskyrimas nėra griežtas reikalavimas. Tiesiog dažniausiai su oficialiai registruotu, tikru spragos kodu suteikiamas ir klaidos svarbumo laipsnis dešimtbalėje sistemoje, ir tai suteikia patikimumo. Tai nebuvo padaryta“, – nurodė ekspertas. Bet ekspertas negailėjo kritikos ir įmonei „Telia“, nes ši nepasirūpino kibernetinio saugumo spragų atsakingo raportavimo formos, leidžiančios saugiai pranešti apie atrastas klaidas, sukūrimu.
„Jei būtų tokia „responsible disclosure“ forma ir įmonės vidaus politika – šios situacijos apskritai nebūtų ir „Telia“ gal būtų netgi visiškai teisi. Ir jeigu pranešėjas tos politikos reikalavimų nebūtų vykdęs – „Telia“ visur būtų šimtu procentų teisi. Bet jie tos politikos neturi ir panašu, kad ignoravo pranešimą“.
Eksperto teigimu, galutinius atsakymus ir taškus šioje istorijoje turėtų sudėlioti Nacionalinio kibernetinio saugumo centro (NKSC) ekspertai, atlikę tyrimą ir išsiaiškinę, ar grėsmės buvo panaikintos tokiu metu, kokį nurodo „Telia“, ar visgi teisus yra pastarosiomis dienomis išplatintos ataskaitos autorius.
Galutinis sprendimas – NKSC rankose
Savo ruožtu, NKSC į 15min užklausimą, ar „Telia“ pranešė šiai institucijai apie užtaisytas saugumo spragas, atsakė patvirtinimu, jog pranešimas apie PHP bibliotekos pažeidžiamumą buvo gautas 2019 m. spalį, o „Telia“ informavo NKSC apie atliktą serverio įrangos atnaujinimą, kuris pašalino minėtą pažeidžiamumą, dėl kurio buvo kilusi grėsmė realizuoti kibernetines atakas.
Panašu, kad „Telia“ saugumu suabejoti privertusi ataskaita tapo priežastimi atlikti ir gilesnę kibernetinę analizę.
„Šiomis dienomis viešumoje pasirodžius informacijai apie ankstesnius programinės įrangos pažeidžiamumus, NKSC atlieka papildomą analizę įvertinti, ar minėta grėsmė yra užkardyta“, – atrašė Krašto apsaugos ministerijos Strateginės komunikacijos departamento (KAM SKD) specialistai, kol kas neatsakę į papildomus klausimus, kada galima tikėtis šios analizės rezultatų.
Atnaujinta: NKSC patikslino žinias
Nacionalinis kibernetinio saugumo centras patikslino informaciją rodančią, kad pačią grėsmingiausią straipsnio pradžioje minimoje ataskaitoje akcentuojamą saugumo spragą „Telia“ iš tiesų užtaisė 2019 m. liepos mėnesį, gerokai anksčiau, nei apie tą spragą gavo informaciją iš paties pranešėjo:
„2019 metais Nacionalinio kibernetinio saugumo centrui prie Krašto apsaugos ministerijos (NKSC) buvo pranešta apie pažeidžiamumus, susijusius su SSH2 protokolo bibliotekų versijomis, kurios pagal UAB „Telia“ pateiktą informaciją buvo atnaujintos 2019-07-18 ir 2019-07-30. Tuo metu buvęs silpnas raktų apsikeitimo algoritmas turėjo būti pakeistas į saugų. Atkreiptinas dėmesys, kad prieinama šiai dienai naujausia SSH2 protokolo bibliotekos libssh2 versija yra 1.9.0. Tai yra šiai dienai saugiausia naudoti versija ir rekomenduojama, esant techninėms galimybėms, šią versiją pritaikyti“, – rašoma KAM SKD komentare.
Bet pagrindinė už kibernetinį saugumą atsakinga institucija Lietuvoje pabrėžė ir tai, kad senieji „Telia“ maršrutizatoriai nebeatitinka šiuolaikiškų saugumo reikalavimų: „Senų (ADB) maršrutizatorių problema išlieka, nes jie gali būti išnaudoti man-in-the-middle tipo kibernetinėms atakoms, ypač kai yra atskleistas universalusis SSH prisijungimo prie maršrutizatoriaus slaptažodis. Šiuose senuose maršrutizatoriuose reikalinga įgalinti viešojo rakto sutikrinimo mechanizmą arba pakeisti maršrutizatorių nauju modeliu, kuriame ši funkcija jau įgalinta“, rašoma komentare. 15min primena, jog „Telia“ šiuos maršrutizatorius keičia nemokamai – tereikia seną įrangą atnešti į ryšio operatoriaus saloną ir gausite naują.
„Nacionalinis kibernetinio saugumo centras šiuo metu vertina aptariamą kibernetinio saugumo problematiką ir kaip ji galėtų būti išspręsta, siekiant, kad vartotojų tinklo įranga nebūtų išnaudota kibernetiniuose incidentuose“, – savo komentarą užbaigė KAM SKD.