A Londonban megrendezésre került EUSecWest konferencián Rich Smith, a HP Rendszerbiztonsági Laborjának munkatársa egy új típusú támadási módot mutatott be, melynek segítségével hardver eszközök tehetők tönkre szoftveres úton (Buherátor teszt, +1 pont ;), adott esetben akár az Interneten keresztül is.
Egyre inkább hajlamosak vagyunk róla megfeledkezni, de egyre jobban körbevesznek minket a különböző, mindennapi használati tárgyakba épített beágyazott számítógépek. Ilyen rendszerek buherálásával viszonylag kevesen foglalkoznak, talán éppen ezért a gyártók nem helyeznek akkora hangsúlyt az ilyen termékek biztonsági tesztelésére. Persze ezeknek a vezérlő számítógépeknek a lelkét is valamilyen szofter - a firmware - hajtja, a kibocsátó cég pedig szeret lehetőséget biztosítani saját maga számára ennek a szoftvernek a frissítésére arra az esetre, ha pl. egy későn kiderülő hardver hibát kellene szoftveresen orvosolni. A frissítés sok esetben külső hálózatról is történhet, ennek ellenére a frimware frissítéshez sokszor nincs szükség autentikációra.
Smith ennek a rossz gyakorlatnak a veszélyeire akar rámutatni. Ki is fejlesztette a PhlashDance (mennyire jó! :) névre keresztelt fuzzert, amely véletlenszerű adatokkal bombázza a beágyazott rendszereket majd a kapott válaszokból igyekszik kimutatni a különböző biztonsági réseket.
Egy ilyen, a hardver maradandó működésképtelenségét okozó támadás Smith szerint felérhet egy DDoS akcióval, ráadásul nem igényel annyi erőforrást, ami nagyon vonzó lehet a rossz fiúk számára. HD Moore, és a Hack a Day bloggerei viszont úgy gondolják, hogy az eszköz tönkretételével szemben sokkal hasznosabb lehet egy profitorientált támadó számára, ha hátsó kaput csempész a szoftverbe, melyen keresztül pl. lehallgathatja az azon átmenő adatokat. Egy biztos: a beágyazott rendszerek gyártóinak felül kell vizsgálniuk eddigi termékeiket, és a jövőben több figyelmet kell fordítaniuk az eszközök védelmére.
Egyre inkább hajlamosak vagyunk róla megfeledkezni, de egyre jobban körbevesznek minket a különböző, mindennapi használati tárgyakba épített beágyazott számítógépek. Ilyen rendszerek buherálásával viszonylag kevesen foglalkoznak, talán éppen ezért a gyártók nem helyeznek akkora hangsúlyt az ilyen termékek biztonsági tesztelésére. Persze ezeknek a vezérlő számítógépeknek a lelkét is valamilyen szofter - a firmware - hajtja, a kibocsátó cég pedig szeret lehetőséget biztosítani saját maga számára ennek a szoftvernek a frissítésére arra az esetre, ha pl. egy későn kiderülő hardver hibát kellene szoftveresen orvosolni. A frissítés sok esetben külső hálózatról is történhet, ennek ellenére a frimware frissítéshez sokszor nincs szükség autentikációra.
Smith ennek a rossz gyakorlatnak a veszélyeire akar rámutatni. Ki is fejlesztette a PhlashDance (mennyire jó! :) névre keresztelt fuzzert, amely véletlenszerű adatokkal bombázza a beágyazott rendszereket majd a kapott válaszokból igyekszik kimutatni a különböző biztonsági réseket.
Egy ilyen, a hardver maradandó működésképtelenségét okozó támadás Smith szerint felérhet egy DDoS akcióval, ráadásul nem igényel annyi erőforrást, ami nagyon vonzó lehet a rossz fiúk számára. HD Moore, és a Hack a Day bloggerei viszont úgy gondolják, hogy az eszköz tönkretételével szemben sokkal hasznosabb lehet egy profitorientált támadó számára, ha hátsó kaput csempész a szoftverbe, melyen keresztül pl. lehallgathatja az azon átmenő adatokat. Egy biztos: a beágyazott rendszerek gyártóinak felül kell vizsgálniuk eddigi termékeiket, és a jövőben több figyelmet kell fordítaniuk az eszközök védelmére.
informatus · http://www.hohh.org/ 2008.05.25. 11:15:28