dinsdag 22 augustus 2017

Zero day worm voor personal computers of smart phones

Met de recente berichten over WannaCry en Petya/NotPetya is aanleiding om eens na te gaan hoeveel erger het kan worden. Wat is het ergste, geloofwaardige rampscenario dat ons kan overkomen?
Dit zou een worm zijn (programma dat zich zonder interactie van gebruikers over de hele wereld verspreidt) en daarna alle geïnfecteerde computers of smart phones onbruikbaar maakt.

Kan dat echt?

Helaas wel. Er worden om de haverklap zero-day problemen ontdekt in veel gebruikte software. Zo maakte WannaCry gebruik van een fout in de SMBv1 implementatie van Microsoft Windows. Kwetsbaar waren alle Windows versies die in de afgelopen 15 jaar zijn gemaakt met uitzondering van Windows 10 (en dan alleen na een update die voorjaar 2017 uitkwam). Er zijn twee redenen dat voornamelijk bedrijven werden getroffen. Consumenten PCs bevinden zich vaak achter een masquerading firewall die inkomend SMB protocol verkeer tegengehoudt en de Petya/NotPetya aanval was gericht tegen bedrijven in Oekraïne.

Wat voor andere software of hardware zou zero-day problemen kunnen bevatten die snelle verspreiding van een worm over de hele wereld mogelijk maken?

Intel Active Management Technology (AMT) is een kandidaat. Heel veel Intel CPUs bevatten de Intel Management Engine. Dat is een kleine extra processor die onzichtbaar voor Windows, Linux, of BSD-unix het geheugen kan lezen en schrijven, via het netwerk berichten kan ontvangen en verzenden, maar ook schijven formatteren, enz. De Intel AMT is vooral bedoeld om het besturingssysteem van een computer op afstand opnieuw te installeren. Als je dat kan, dan kun je gewoon alles doen. Het is dus van het grootste belang dat dit alleen in opdracht van gerechtigde partijen kan gebeuren.

De Intel AMT baart mij grote zorgen. De NSA heeft ongetwijfeld een exploit klaarliggen waarmee ze elke computer met een Intel AMT kunnen overnemen (net zoals ze al jaren de exploit hadden die, nadat die uitlekte, gebruikt is in WannaCry). Er is geen reden om te geloven dat NSA haar AMT exploit wel goed geheim kan houden. Wie de Intel AMT kan overnemen kan de computer onbruikbaar maken. Als zo'n worm de wereld over gaat zijn de rapen pas echt gaar.

Kun je die Intel AMT dan niet uitschakelen?

Sommige computers hebben een instelling in de BIOS die pretendeert de AMT uit te schakelen. De effectiviteit van die instelling is lastig te verifiëren. Veel computers hebben niet eens zo'n instelling in de BIOS en binnen bedrijven die AMT gebruiken voor remote management van PCs kun je het niet uitschakelen.

Werkt een firewall hiertegen?

Ja, een firewall die is geconfigureerd om verkeer voor de TCP ports die AMT gebruikt te blokkeren scheelt een hoop. Maar binnen bedrijven die AMT gebruiken voor het managen van PCs is dit geen oplossing. Uiteraard zal elke zichzelf respecterende ICT afdeling ervoor zorgen dat deze ports niet van buiten het bedrijf toegankelijk zijn. Een worm die AMT aanvalt zal dus een tweede verspreidingsmethode moeten hebben om een bedrijf binnen te komen. Maar zelfs als die tweede verspreidingsmethode maar 1% van de PCs kan infecteren is geen enkel groot bedrijf veilig.

Die hele Intel AMT is een vreselijk slecht idee en dat wordt een keer een ramp.

Hoe kunnen we de gevolgen beperken?

Een worm die de Intel AMT aanvalt kan waarschijnlijk de hardware van de computer vernietigen of onbruikbaar maken. Het enige wat tegen zo'n aanval helpt is een reserve computer die pas aan het netwerk gekoppeld mag worden wanneer de aanval volledig is geëlimineerd.

Stap 1 is regelmatig een backup te maken en die off-line (dus niet gekoppeld aan enige computer) te bewaren. Hierdoor kan de informatie niet verloren gaan. Daarnaast moet er goede documentatie zijn over wat welke computer van het bedrijf doet en waar de backups zich bevinden. Die informatie moet 100% actueel zijn en ook na het onbruikbaar worden van veel computers beschikbaar zijn; dus een papieren versie kan zinvol zijn.
Stap 2 is de aanval stoppen en vaststellen dat de aanval 100% is gestopt. Vanwege een schrikbarend gebrek aan goede informatie over de Intel AMT zal dit niet gemakkelijk zijn.
Stap 3 is het inrichten van de reserve computer(s) om alle functies van de onbruikbaar geworden computer(s) over te nemen en deze computer(s) in gebruik te nemen.

Zijn er nog andere computer problemen die tot zo'n ramp kunnen leiden?

Jazeker; de meeste zijn misschien nog niet gevonden. Maar een leuk voorbeeld zit in de WiFi zender/ontvangers die in smart phones zitten. Heel veel gebruiken een chip set van Broadcom die in feite een embedded computer is met buggy software kort bericht, langer en meer technisch artikel (de gelinkte artikelen zijn in het Engels). Er zijn ongeveer 1 miljard smart phones in de wereld die deze chip set gebruiken. Een worm die deze kwetsbare chip set aanvalt kan dus 1 miljard smart phones onbruikbaar maken. Interactie van de gebruiker van de smart phone is niet nodig; het is voldoende als de WiFi radio ingeschakeld is en een besmette smart phone zich binnen WiFi bereik bevindt. Dit probleem wordt geleidelijk gefixt doordat sommige smart phones updates krijgen die het probleem verhelpt. Andere smart phones worden vervangen door nieuwere waarin het probleem reeds verholpen is. In dit tempo duurt het nog jaren voordat dit probleem de wereld uit is.

Toevoeging 13 september 2017.
Bijna alle apparaten die via BlueTooth kunnen communiceren zijn kwetsbaar voor een hele serie problemen. De kwetsbaarheid heet BlueBorne (artikel in het Engels). Alleen recente versies van IOS zijn niet kwetsbaar. De belangrijkste oorzaak van dit probleem is de gigantische complexiteit van BlueTooth.

Geen opmerkingen:

Een reactie posten