Ряд брендовых устройства компаний Seagate и Western Digital имеют серьезные уязвимости. С такими заявлениями, не сговариваясь, выступили в сети ИБ-эксперты разных групп. Информация о проблемах в системе безопасности фирменных девайсов была еще летом передана исследователями этим лидерам IT-рынка. Предав гласности сведения о недоработках системы защиты информации, экспертное ИБ-сообщество выступило против игнорирования работ по выпуску патчей и халатного отношения к обеспечению ИБ продукции массового спроса от известных производителей.
Исследованиями систем безопасности продукции Seagate на протяжении нескольких месяцев занимались специалисты IT-компании Docker software и ИБ-эксперт Эрик Виндишем. В частности, в популярном на рынке устройстве Seagate Central network attached storage (NAS) многочисленные уязвимости обнаружились. Отчет о всех выявленных багах был еще летом отправлен компании Seagate, однако никаких практических шагов для выпуска патчей или иных мер по защите пользовательской информации, находящейся на дисках, предпринято не было. Такая же ситуация получилась и с поведением компании Western Digital, которая проигнорировала экспертный отчет об уязвимостях в топовых устройствах WD My Passport и My Book. И специалисты, спустя несколько месяцев безуспешных ожиданий выпуска компанией патча, предали гласности сведения о «дырявой» системе безопасности с целью предупредить пользователей о существующих угрозах.
Компании Seagate Виндиш направил свой отчет еще в июле текущего года. Однако, кроме простого обещания выпустить обновленную версию прошивки, никаких конкретных действий не последовало. И, выждав положенные 90 дней, он проинформировал массового пользователя о найденных брешах на девайсах Seagate. В частности, по поводу уязвимостей устройства NAS Виндиш в блоге выделил три основных проблемы: «Во-первых, устройства «из коробки» оснащены очень простым, распространенным паролем, который очень легко узнать; во-вторых, веб-приложение для NAS позволяет внести несанкционированные модификации в IP-адрес и имя хоста; в-третьих, обновление прошивки происходит через HTTP — без подписи, что открывает широкие возможности для атак типа man-in-the-middle». При этом эксперт подчеркнул, что локальный атакующий в любой момент может повысить свои привилегии в системе, поскольку некоторые системные файлы открыты для записи. Также Виндиш указал, что подобные баги присутствуют также и у девайсов линейки BlackArmor, поскольку код прошивки идентичен с продуктом NAS.
С продуктами WD My Passport и My Book, оснащенных системой самошифрования дисков (SEDS), ситуация повторилась почти по такому же сценарию. Приглашенным компанией WD ИБ-исследователям объявили сначала, что все усилия нужно направить на обеспечение защиты информации для всей линейки выпускаемой продукции. В результате проведенной работы были выявлены многочисленные бэкдоры при аутентификации, которыми могут воспользоваться хакеры для обхода проверки пароля, а также — баги в системе парольной защиты, аппаратном модуле генератора случайных чисел (ГСЧ), используемом для шифрования и обновления прошивки. Экспертный отчет был направлен руководству компании. Однако и по прошествии нескольких месяцев никаких шагов по выпуску патчей и ПО для исправления брешей техническими службами WD предпринято не было. И тогда эксперты, как Docker software или как Виндиш, предупредили всех пользователей исследованных девайсов WD об угрозах через публикацию результатов своих исследований.
В частности, из публикации следовало, что устройства WD, оснащенные функцией встроенного шифрования «на лету» и как бы защищенные паролем, на самом деле обеспечить защиту информации не в состоянии. А это значит, что злоумышленникам открыта возможность получить доступ к любым данным на диске, причем даже без необходимости подбирать пароль, поскольку шифрование данных осуществлено по алгоритму AES с 256-битным ключом. Говорилось также и о том, что в устройстве имеются серьезные проблемы с генератором случайных чисел (RNG), который используется как системой шифрования, так и во время обновления прошивки. Например, пользователи узнали, что экспертами, как сообщается в публикации, были разработаны не сколько типов атак «для извлечения данных с защищенных паролем и шифрованием внешних жестких дисков». Исследователи отмечали, что среди обнаруженных уязвимостей особое внимание надо обратить на «возможность модификации прошивки и клиентского софта, работающего на компьютере пользователя», а также на то, что «благодаря атакам типа evil maid и badUSB возможно получить учетные данные пользователя и внедрить вредоносный код».
В ответ на критику компания ограничилась отпиской: «WD сотрудничает с независимыми ИБ-специалистами и ведет диалог, относительно опубликованных ими наблюдений о безопасности некоторых моделей жестких дисков My Passport. Мы продолжим оценивать важность их изысканий».
Не исключено, что количество неудобных вопросов по поводу уязвимостей и уровня защищенности данных для продукции WD и Seagate со стороны пользователей продолжит расти. Так что, во избежание репутационных и коммерческих потерь этим лидерам IT-рынка уже сегодня стоило бы подумать о конечном пользователе выпускаемой продукции и сделать все необходимое для обеспечения высокого уровня ИБ для всей линейки продаваемой продукции.
.png)