Потрясающий пример того, почему в современном мире кибербезопасность должна быть первоочередным вопросом на повестке дня в любой организации. Хакеры получили доступ к аккаунту «суперадмина» во внутренней сети стартапа Verkada, который предоставляет услуги видеонаблюдения сотням известнейших компаний (например, Tesla) и учреждений (включая тюрьмы, больницы и клиники, а также полицейские участки). Учетные данные были жестко «зашиты» в коде фирменной программы, который случайно оказался в Сети.
Масштаб взлома поражает. Хорошо, что совершившие его хакеры делали все веселья ради и для демонстрации уязвимости современных людей перед тотальной слежкой. По крайней мере, так они сами утверждают. В качестве подтверждения своих слов киберпреступники предоставили некоторым СМИ архив с изображениями и видеофайлами общим объемом пять с небольшим гигабайт. Как пишет Bloomberg, там есть кадры из десятков организаций — и частных, и государственных.
Журналисты подтвердили: в архиве — множество изображений и роликов из реальных офисов или с производственных площадок. На одном из видео восемь сотрудников медицинского учреждения скручивали пациента на кровати, а на другом — полицейские в участке разговаривали с закованным в наручники человеком. Также есть кадры из женских клиник, школ, отделений интенсивной терапии в больницах и шанхайского склада Tesla. Есть съемка даже из штаб-квартиры самой компании Verkada и дома одного из ее сотрудников.
В общей сложности взломщики получили неограниченный доступ более чем к 150 тысячам камер наблюдения. Отдельно отмечаются 222 «глаза» на заводах и складах Tesla. Но список организаций, чья безопасность была поставлена под угрозу, знаменитым производителем электромобилей не ограничивается. Получившие архив с подтверждением взлома СМИ смогли установить соответствие мест съемки с большим числом клиентов Verkada, упомянутых на официальном сайте компании.
Репортер CBS News Дэн Паттерсон (Dan Patterson) в своем Twitter-аккаунте сегодня ночью сообщил, что скачивает архив, но проверить его пока не успел. По его словам, предоставляя ссылку, хакеры отметили, что среди видео есть свидетельства плохого обращения с заключенными в тюрьмах и пациентами в психиатрических клиниках. Также Дэн смог пообщаться с одним из взломщиков — известным специалистом по кибербезопасности Тиллем Коттманном (Tille Kottmann) из Швейцарии. Он рассказал, что международная команда хакеров APT 69420 Arson Cats, в которой он состоит, имела доступ к внутренней сети Verkada около 36 часов.
По словам Коттманна, мотивация хакеров проста: «Уйма любопытства, борьбы за свободу информации и против интеллектуальной собственности, огромная порция антикапитализма и немножко анархизма — а еще,
это слишком весело, чтобы не сделать». Он отметил, что на деньги ему плевать и он просто хочет, чтобы мир стал лучше. Ну и в процессе создания этого «лучшего мира», как говорится, грех не повеселиться. Что важно, Тилль попросил заметить — ни он лично, ни APT 69420 в целом не представляют никакую нацию или корпорацию.
Что любопытно, Коттманну за такой взлом ничего не грозит, именно поэтому он свободно общается с прессой. Швейцарское уголовное законодательство подразумевает финансовое наказание и лишение свободы за неправомерное получение информации через электронные сети, только если для сохранности этой информации были приложены необходимые усилия (статья 143 бис Уголовного кодекса Швейцарии). Фактически раз учетные данные были в открытом доступе, Тиллю не о чем беспокоиться — виновник тот, кто выложил их во всеобщий доступ.
Самое интересное — метод взлома. Хакеры не использовали никаких уязвимостей или социальной инженерии. Учетные данные «суперадмина» получили, изучая внутреннюю среду разработки Verkada, которую в компании не защитили от внешнего доступа через интернет. В программе содержались «жестко закодированные» (hardcoded) данные для аутентификации с правами максимального доступа.
В этом месте стоит сделать отступление с пояснением. В строгом смысле, скорее всего, ничего «жестко закодировано» не было, ведь брешь в скором времени закрыли. Обычно под hardcoded понимается связка логин-пароль или некий токен для авторизации, который «вшит» в низкоуровневое программное обеспечение или даже прямо в архитектуру аппаратного обеспечения. Такие «черные ходы» действительно используются многими производителями оборудования и остаются серьезной угрозой для безопасности. Хотя сильно облегчают работу техподдержки. Однако быстро изменить их крайне трудно, а иногда — вовсе невозможно.
В нашем случае, судя по всему, речь идет об использовании универсального токена или упоминания аутентификационных данных в коде программы для отладки. Так нередко поступают невнимательные или ленивые программисты, чтобы во время отладки системы не отвлекаться на ввод учетных данных. На IT-жаргоне это еще называют «жестким кодированием», хотя и не совсем корректно. В любом случае, вся история катастрофически ударила по репутации Verkada и стала отличным примером максимально злой иронии. Ведь на официальном сайте компании черным по белому описано, с каким настроем ее создал основатель:
На новость о масштабном взломе успели отреагировать некоторые пострадавшие компании. Представители всемирно известного IT-гиганта Cloudflare отметили, что камеры Verkada стоят в офисах, которые давно закрыты из-за коронавирусного локдауна, и никаких личных или просто ценных данных никто не мог заполучить. В Verkada журналистов заверили, что брешь уже прикрыли и проводят всестороннее внутреннее расследование — как с собственной службой безопасности, так и с привлечением внешнего аудитора. От Tesla, других компаний, представителей тюрем и учреждений здравоохранения СМИ до сих пор не получили комментариев.
А они, честно говоря, потребуются. Как минимум в двух случаях. Во-первых, и хакеры, и журналисты отметили, что фирменная технология распознавания лиц в камерах Verkada была включена для видеонаблюдения в нескольких больницах и женских клиниках. Система позволяет идентифицировать и отслеживать людей по целому ряду внешних параметров, что уже ставит под вопрос врачебную тайну. Во-вторых, в архиве записей одной аризонской тюрьмы обнаружили целую папку с роликами, названия которых вызывают, мягко говоря, подозрения: вроде «Удар ногой с разворота — упс» (ROUNDHOUSE KICK OOPSIE).
Комментарии
Очень интересная статья. Но есть вопросы к переводу оригинальных твитов журналиста. She это все-таки "она", а не "он", а из цитаты про мотивацию пропало слово gay. В результате не понятен смысл слов "Я буду так же под прицелом, как сейчас" — без этого контекста не понятно, из-за чего.
К сожалению, в результате создается ощущение двойных стандартов — писать про работу людей и, возможно, даже ими восхищаться, но перекраивать их слова и личности на свой персональный вкус. Думаю, такой цели не было, но прошу обратить внимание на нарочитое искажение источника.
Вот честно меня совершенно не взволновала сексуальная ориентация "специалиста по кибербезопасности" К теме статьи она имеет никакого отношения. Те кому важно знать гей этот хакер или натурал могут прочитать оригинал на английском.
Я даже не знаю, как это комментировать, если честно. Если докапываться до сути, то Тилль, вообще-то, просит обращаться к себе нейтральным местоимением they. В русском языке нет литературной нормы, регламентирующей такое обращение, так что будет "он", как привычно по умолчанию и применимо к среднему роду. В целом, на гендер Паттерсона всем начхать, в первую очередь ему самому -- журналист регулярно его называет в разном роде и Тилль на это не обращает внимания.
А если кому-то хочется, чтобы Nsked-Science в чудесной России настоящего прикрыли за публикации со словами типа "за взломом не стоит ничего, кроме гейства, веселья и анархии" (для полного набора оскорбления верующих не хватает) -- у меня к этому человеку просто нет вопросов.
И, да, попрошу еще раз внимательно прочитать статью вместе с подписями ко всем вставкам, и четко мне показать, где это я исказил чьи слова.
Термин "уязвимость" меня вообще безмерно удивляет и ставит в тупик.
Что такое есть "уязвимость"?
И если имущество "уязвимо" - его можно красть?
Предположим, фрукты у уличного торговца лежат на улице на открытом стеллаже прямо у тротуара. Очень легко сделать так, что, быстро проходя мимо, можно схватить фрукты и побежать, таким образом присвоив их себе. Это "уязвимость" (в терминологии этих уродов-хакеров)? То есть, если имущество (вещи, в т.ч. информация, как некий вид имущества) технически "уязвимы", значит, ее можно красть, и ничего за это не будет?
То есть торговец обязан сделать так, чтобы фрукты были технически "неуязвимы" для кражи? Или просто есть такая обязанность у законопослушного гражданина - не красть ничего, даже если технически украсть очень легко?
Или у информации как особого рода имущества есть исключения?
Или для хакеров как для людей особого сорта, недоступного простым смертным, предполагается защита от действия законов о краже?
Ничего не понимаю. Почему законы не действуют. Красть уже можно, проникать в чужую частную собственность уже можно или все-таки нельзя? Или можно но хакерам?
Записи с камер видеонаблюдения это не фрукты на прилавке. Они не должны быть в широком доступе. В данном случае хакер вскрыл серьезную проблему в безопасности и не воспользовался в личных целях, а СООБЩИЛ О НЕЙ. То есть помог закрыть дыру. И если уж вам нужны аналогии на пальцах то вот вам простой кейс. Вот идет человек по улице и не замечает что штаны на опе лопнули. По вашему лучше ничего не говорить, пусть идет дальше или все же лучше сообщить ему о проблеме? Пусть даже в стиле "эй чувак у тебя трусы видать!" И если вы потащите нахала в полицию, в следующий раз пойдете сверкая труселями и вам слова никто не скажет. Пока не увидите свой голый зад в интернетах. Да конечно лучше было подойти и шепнуть на ухо, чем орать на всю улицу, но ведь и усилий хакерам пришлось приложить куда больше, чем просто посмотреть. Шумиха поднятая хакерами выглядит некрасиво, но и сажать тут не за что. Хотя бы потому, что данные тогда будут красть никуда не сообщая. Что гораздо опаснее.
Ага. Точно. Потрясающе.
Вы купили замок в магазине, обычный. Он же уязвим, его можно легко открыть обычной отмычкой. Что же это вы ходите без трусов? К каждому замку, купленному в магазине, нужно вызывать мастера, он его должен настраивать, чтобы никто не мог открыть замок отмычкой. А лучше сразу делать бункерную дверь.
Что это вы ходите по улице в такой уязвимой одежонке? Кепочка слабенькая, уязвимая. Вдруг кому захочется Вас дубиной огреть. Поэтому настраивайте себе неуязвимую каску, да и кольчужку тоже заказывайте. Вдруг кто захочет Вас ножичком попробовать на предмет уязвимости вашего брюшка.
Вам приятно будет жить в таком обществе? Мне - нет.
Наличие "уязвимости" (определяемой весьма произвольно по прихоти каких-то гопников от электроники) не является оправданием для использования сей "уязвимости" в преступных целях. Мы все живем в обществе и все уязвимы.
Эти преувеличения -- нарочны, или ты действительно не понимаешь концепции разумной безопасности?
В представлении Семена все хакеры это враги трудового админа которых надо немножко расстрелять или отправить на Марс высаживать яблони.
О, я таких сисадминов обожаю просто.
На одной из работ после каждого анонса о том, насколько у нас улучшилась компьютерная безопасность в компании я просто заходил на главный сервак, торчащий "наружу" с дефолтным паролем, и с директорской почты рассылал всем трояны. Причем трояны старые, которые в свежих базах сигнатур давно есть, но, поскольку никто не тратил деньги на лицензионные антивирусы или венду, они заходили на ура. А в день увольнения сменил пароль на сервере и закинул на общий диск шифровальщика типа популярного тогда WannaCry или как его.
В общем, все, как Тилль завещал -- gay and fun
Ну ты злой. Прям какой-то привет из 90-х. Даже если была обида на бывших работодателей, не делал ничего подобного. Просто потому что обычно страдают рядовые сотрудники с которыми я отношений не портил.
Зато эникейщик наш всегда при делах был! Я еще и дешифратор прямо на рабочем столе сервера оставил. Они его не нашли)))))))))))))))))))))))))))))))))))))))
УПД. Вообще, это и была контора на 100% привет из 90-х, у нас даже крыша была и шеф с братками тусил (ноу шит). Никак не помешало гавкнуться с грохотом в 2015м