utorok 20. decembra 2011

Kauza vírusov Skynet - Airmax UBNT

včera/dnes sa stala zaujímavá vec. Martin Kratochvíl administrátor siete skvely.net publikoval na stránke www.root.cz (priamy link na článok neuvádzam z bezpečnostných dôvodov) informáciu o šíriacom sa víruse z názvom Skynet, ktorý napáda všetky zariadenia s AirOS verzie 3.6.1, 4.x a 5.x prostredníctvom diery web servera v zariadeniach UBNT. Vírus odchytáva, prihlasovacie cookies, počúva sieťovú prevádzku, identifikuje hesla, ktoré odosiela autorovi vírusu. Vírus okrem iného spôsobuje buď náhodné, alebo cielené reštarty zariadenia. Prítomnosť vírusu je možné identifikovať tak, že v zariadení neexistuje adresa http://ip.ad.re.sa/admin.cgi nakoľko vírus túto zmení na http://ip.ad.re.sa/adm.cgi.

V závere svojej správy uvádza že už pred 14 dňami informoval vývojárov UBNT o tomto probléme, ale UBNT na to nijak nereagovalo. Včera 18.12.2011 sa informácia o víruse dostala najprv na fórum skfree.net, neskôr do ispforum.cz , a tiež do internej diskusie ALPI (interné fórum členov združenia ALPI), kde padlo hneď niekoľko návrhov na dočasné rýchle opatrenia ako zabrániť ďalsiemu šíreniu vírusu (Pixall a Lukic). V tom istom čase Pixall informoval UBNT o detailoch vírusu aj na UBNT fóre, nakoľko sa ukázalo, že prvotné informácie o možnosti existencie vírusu nebrali v UBNT úplne vážne. Podľa ich slov správy z východnej európy boli vyhodnotené ako SPAM. Až následne dôkladné zdokumentovanie podrobnosti v pixalových príspevkoch (aj príspevkoch iných prispievateľov) na UBNT fóre donútilo vývojarov UBNT k akcii. To bolo dnes 19.12.2011 doobeda našeho času - čo je skoro ráno v USA.

Hneď na to sa začali diať veci. Príspevky na UBNT fóre zmizli a hoci to chvíľu vyzeralo že UBNT na to zvysoka ...(každý nech si doplní čo ho prve napadne). Bolo to však iba zdanie, neskôr Matt Hardy vysvetlil, ze dôvod prečo príspevky zmazali bol ten, aby sa vírus zbytočne nešíril ďalej. V tom čase už team vývojárov pracoval na riešení problému. V priebehu niekoľkých ďalších hodín prišlo k viacerým vyjadreniam a spresňovaniu problému na novom vlákne UBNT fóra. Načo následne cca okolo 21.00 našeho času bol zverejnený nový FW, ktorý odstránil bezpečnostnú dieru, a bol prisľúbený nástroj/návod na odvírovanie už napadnutých zariadení, ktorý by mal byť publikovaný zajtra.

Myslím, že toto je pekný príklad toho, ako to môže dobre fungovať ak sa chce. Pochvala patrí predovšetkým  Martinovi Kratochvílovi, ktorý celu vec ako prvý popísal, následne ľudom ktorý informovali/atakovali UBNT prostrednictvom ich fora, a následne vývojárom v UBNT, ktorí rýchlo zareagovali na vzniknutý problém reportovaný zdola a vyrobili opravený FW.

Vec ma však niekoľko otáznikov, ja uvediem len 2 z nich, zvyšok si doplnte sami (môžete v diskusii pod týmto článkom)

1.Skynet je vírus o ktorom vieme, existujú ešte ďalšie o ktorých nevieme? (UBNT, Mikrotik)
2.14 dni ležala dôležitá správa v SPAM filtri, čo ak tam bude nabudúce ležať navždy?


Na záver ešte niekoľko otázok, ktoré som adresoval Mattovi Hardy-mu z UBNT:

1.When did you first heard about Skynet virus attacks?
We learned today (this morning). Original author said they emailed us 2 weeks ago, but it was lost in spam filters, as have have logs that say we never received anything.

2.People who watching UBNT Forum, saw only deleting posts about this issue. What was your real action?
The original intent was not to try to hide that an issue existed; we are very open with our customers. We simply wanted to hide the specifics of how to exploit the products to keep this malicious information out of the wrong hands, until we were able to provide a fix.

3.Can you closer described how many people, from which country ( I know that UBNT have several R&D team in diferent locations) and which areas are involved in the solution to this problem?
Teams from two countries (US and Lithuania team -- software developers, QA team, community team, web team). We devoted as many resources as we could to resolving this problem quickly.

4.Are, you contacted the author of the original post at root.cz (Martin Kratochvíl) who first described this problem, or other contributors to your forum (pixall...)?
Yes, we have been in contact with root.cz site administrators and authors and they now understand that we never received their original email.

5.Today you already released a new firmware that solved describing the problem, will you solve the problem of infected devices?
Yes, we are also working on patches for already affected devices. We will have this released by tomorrow.

6.Martin Kratochvil (original author of firs blog post) was trying to contact you already 14 days ago, but according to your statement it was filtered as SPAM. How will you ensure that similar things for future not happend?
We use a very reputable and accurate spam filter, and have very little problems with it. We are investigating as to why the original message was not received, and will make sure spam filter settings are working properly.

7.Anyway I like to thank you for fast reaction from your side. I wish you merry christmas and happy new year.
Merry Christmas to you too! Yes, if any users have any questions or need assistance with this or any other issue, please contact us at support@ubnt.com, or me directly matt@ubnt.com.

Žiadne komentáre: