Tietoturva

Laajasti käytetty softa sählää salasanat

Julkaistu: , Päivitetty:

Mars-mönkijöitä, sotakoneita sekä eri printtereitä ja palomuureja yhdistää sama käyttöjärjestelmä VxWorks. Tutkija kaivoi esiin haavoittuvuuksia, jotka ovat hänen mukaansa vasta "jäävuoren huippu".


Ennenkin esillä ollut tietoturvatutkija HD Moore raportoi kahdesta haavoittuvuudesta sulautetuissa järjestelmissä yleisesti käytetyssä VxWorks-käyttöjärjestelmässä.

Suomen Cert-fi selvittää faktat lyhyesti. Ensimmäinen haavoittuvuus liittyy käyttöjärjestelmän vakiona päällä olevaan debug-toiminnallisuuteen. Se mahdollistaa hyökkääjän koodin suorittamisen lähettämällä laitteelle udp-paketteja. Haavoittuvuus mahdollistaa myös käyttöjärjestelmän muistin sisällön tutkimisen.

Toinen haavoittuvuus on käyttöjärjestelmän vakiona käyttämässä tiivistealgoritmissa, Cert-fi jatkaa. Suunnitteluvirheen seurauksena useat eri salasanat tuottavat saman tiivisteen, jolloin salasanojen murtaminen yritys/arvaus-menetelmällä onnistuu paljon nopeammin, tutkija Mooren mukaan jopa vain puolessa tunnissa.

Löytyy
Marsistakin


Moore korostaa VxWorksin mitä moninaisinta käyttöä. Se oli hänen mukaansa suosituin sulautettu käyttöjärjestelmä vuonna 2005 ja on päässyt esimerkiksi Marsin Opportunity- ja Spirit-mönkijöihin.
Mainos (Teksti jatkuu alla)
Mainos päättyy

Muita tunnettuja käyttöjärjestelmän hyödyntäjiä ovat Wikipedian mukaan esimerkiksi Hondan Asimo-robotti, BMW:n iDrive-järjestelmä ja Apache Longbow -taisteluhelikopteri.

HD Moore ei kuitenkaan sano, että nämä mainitut tuotteet olisivat haavoittuvia. Pitkät listat potentiaalisesti haavoittuvista ja haavoittuviksi jo tiedetyistä valmistajista on julkaistu internetissä.

Joukossa on muun muassa Apple, Canon, Cisco, Ericsson, Huawei, Xerox ja Nokia, joka on korjannut debug-aukon. Salasana-aukon pätevyydestä Nokian tuotteisiin ei ole tietoa.

Jos valmistaja ei ole vielä korjannut ongelmaa, Cert-fi tarjoaa rajoituskeinoja.

Lisää aukkoja
luvassa


VxWorks-alustan on kehittänyt Wind River Systems, joka on nykyään suoritinyhtiö Intelin omistuksessa. Käyttöjärjestelmän tavallisempia käyttökohteita ovat esimerkiksi tulostimet, kytkimet ja tukiasemat.

Tutkija Moore uskoo lisää haavoittuvuuksia löytyvän.

– Nämä kaksi mainittua haavoittuvuutta ovat vasta jäävuoren huippu, ja on paljon työtä jäljellä ennen kuin VxWorks on niin testattu kuin sen on tarpeen olla.

Kommentit

    Näytä lisää