Свежие посты   По годам   По датам
  • 17 Августа 2015 » (уязвимость) Атака OwnStar работает и против машин BMW, Chrysler и Mercedes
    Атака OwnStar, которую хакер Сэми Камкар (Samy Kamkar) представил в конце прошлого месяца, может быть использована не только против автомобилей производства GM, но и против машин, производимых Mercedes-Benz, BMW и Chrysler. Суть атаки в том, чтобы перехватывать трафик находящихся рядом мобильных устройств, на которых запущены приложения, позволяющие управлять защитными функциями транспортных средств. Камкар разработал свое устройство, названное им OwnStar, на базе Raspberry Pi. Изначально оно предназначалось для атак на приложение GM OnStar RemoteLink. Устройство позволяет перехватывать трафик, посылать особые пакеты на устройство, получать учетные данные и локализовать, отпирать двери и включать зажигание целевого автомобиля. «Если пользователь запустит приложение RemoteLink на своем телефоне, находящемся неподалеку от OwnStar, устройство перехватит трафик и, передавая особые пакеты, получит дополнительные учетные данные, затем сообщит мне, атакующему, данные о скомпрометированном автомобиле, включая его расположение, компанию-производителя и модель», — заявил Камкар, комментируя видеоролик, демонстрирующий атаку. После того как эксперт раскрыл подробности своей атаки, основанной на уязвимости в приложении RemoteLink, GM оперативно выпустила фикс, закрывший брешь. Однако Камкар заявил, что его атака работает и против приложений, используемых для управления автомобилями производства BMW, Mercedes-Benz и Chrysler. Он заявил, что уязвимыми являются приложения BMW Remote, Mercedes-Benz mbrace и Chrysler Uconnect. Основная проблема в том, что приложения не могут корректно валидировать SSL-сертификаты. В последние недели Камкар сосредоточился исключительно на проблеме безопасности транспортных средств. На прошлой неделе на DEF CON он представил еще одно устройство, названное им RollJam, которое позволяет перехватывать сигналы от устройств дистанционного управления, а затем проигрывать их для отпирания дверей. Устройство может быть спрятано под машиной и работает против автомобилей, использующих непрерывно изменяющийся код. «То есть вы идете к своей машине, нажимаете кнопку на брелоке, но, так как сигнал глушится, автомобиль его «услышать» не может. Но зато сигнал с брелока «услышит» мой девайс. И тогда он перехватит код, который так и не дошел до вашей машины», — объяснил Камкар. Источник

  • 14 Августа 2015 » (уязвимость) [IoT] Электронные браслеты для осужденных удалось взломать
    Взломав электронные браслеты, преступники смогут обманывать полицейских, следует из сообщения Help Net Security. Ненадежность браслетов, которые призваны сообщать полиции о местонахождении осужденных, обнаружил исследователь безопасности Уильям Тернер (Amm0nRa). Эксперт сумел взломать устройство производства тайваньской компании GWG International. Гаджет использует GPS и коротковолновые радиочастоты, чтобы установить местоположение человека, на лодыжку которого он надет. Затем по мобильной связи девайс отправляет информацию в службу мониторинга, относящуюся к правоохранительным органам. Исследователь сумел обойти систему защиты браслета от попыток его снять или провести другие манипуляции с ним. Он обернул браслет оловянной фольгой, купленной им за $2, блокировал сигнал, после чего заставил девайс подключиться к сети, которую создал сам Тернер. Это позволило исследователю перехватить исходящее сообщение, которое должно было предупредить полицейских, что браслет открыт. Специалист достал SIM-карту из девайса, засунул ее в мобильный телефон и отправил послание на другой телефон, чтобы узнать, какой номер привязан к этой SIM-карте. Владея этой информацией, исследователь прибег к SMS-спуфингу и отослал полиции сообщение, что преступник находится дома. Тернер испробовал этот метод на одном девайсе, однако, по его словам, подобная уязвимость присутствует и в других устройствах, функционирующих по такому же принципу. Добавим, что недавно исследователи сумели совершить взлом, который должен был заинтересовать как преступников, так и правоохранительные органы. Эксперты по безопасности «вскрыли» сейф при помощи флешки. Раньше грабителям-медвежатникам, специализирующимся на взломе сейфов, приходилось опираться на инструменты и взрывчатку, чтобы получить доступ в недра сейфов. Сегодня сейфы «поумнели», но, как выяснилось, технологии только сделали некоторые из них более уязвимыми. Источник

  • 07 Августа 2015 » (комментарий) TheLifeNews - 43% соотечественников предпочитают хранить сбережения в наличных
    TheLifeNews опубликовали мой комментарий к информации о том, что граждане России выбирают оплату наличными деньгами, а накопленные средства предпочитают оставлять дома, а не хранить в банковских учреждениях. Одна из возможных причин выбора наличных заключается в их способности обезличивать покупателя, — комментирует сложившуюся ситуацию Алексей Комаров, независимый эксперт в области информационной безопасности, защиты информации и безопасности промышленных систем автоматизации: - В отличие от любых форм онлайн-оплаты и оплаты банковскими картами, бумажные денежные знаки не оставляют электронных следов, что в век процветания мошенничества в сети Интернет достаточно ценно. Обезопасить себя от злоумышленников можно, но это потребует постоянного внимания и проявления осторожности со стороны самого пользователя. Киберпреступнику же достаточно всего одной ошибки. Недоверие же к банковским вкладам дополнительно обуславливается общей нестабильностью и регулярным отзывом банковских лицензий. Получить свои деньги вкладчик закрывшегося банка, если он был включён в систему страхования вкладов, в итоге сможет, но валюта, например, может быть конвертирована по не самому выгодному курсу. Стабильные банки из первой десятки предлагают настолько низкие проценты для тех же валютных вкладов, что большого смысла в таких вкладах и нет. Доллар же дорожает сам собой просто лёжа в тумбочке. Публикация полностью здесь, TheLifeNews 29 июля 2015.  

  • 07 Августа 2015 » (уязвимость) Стиральная машина и кондиционер могут передавать радиосигнал
    Специалисты по безопасности из американского стартапа Red Balloon Security показали, как с помощью обычных бытовых приборов можно передавать информацию. Это делается с помощью колебания электромагнитного излучения, которое излучает прибор. Колебания улавливаются и декодируются удаленно. Колебания излучения достигаются за счет быстрого изменения напряжения питания на микросхеме. Передавать информацию таким образом способны многие приборы: хоть принтер, хоть стиральная машина, хоть печь СВЧ. Любой прибор с электронной начинкой превращается в радиопередатчик. Стартап Red Balloon Security, вероятно, хочет коммерциализировать разработку каким-то образом. Они провели презентацию для прессы и запустили демонстрационный веб-сайт funtenna.org. Во время демонстрации они заменили прошивку лазерного принтера Pantum и внесли изменения в его электронику. После этого показали, как расположенный неподалеку компьютер с радиопремником расшифровывает сигнал. По их словам, подключенные к устройству кабели служат усилителем сигнала. В принципе, разработка имеет практическую ценность. Теоретически, с ее помощью можно удаленно незаметно передавать информацию из корпоративной сети, которая не подключена к интернету. Например, из центра управления атомной станцией или другим стратегически важным объектом. Правда, как это сделать на практике, не совсем понятно. Представитель компании Ан Цуй (Ang Cui) выступил с докладом на конференции Black Hat, где показал VoIP-телефон, принтер, жесткий диск и сетевую карту, излучающие по несколько байт в секунду. Источник

  • 07 Августа 2015 » Не обеспечивающее безопасность программное обеспечение
    Причин, по которым в современном программном обеспечении находили, находят и продолжат находить уязвимости, мягко говоря, чуть более одной. Можно назвать сложность самого программного обеспечения и средств разработки, дороговизну организации процесса безопасной разработки (не все ведь могут понять и принять тот факт, что стоимость исправления ошибки позднее может стоить дороже), ограниченные человеческие и временные ресурсы (конкуренты не будут ждать, пока разработанная новая версия пройдёт полный цикл тестирования) и т.п. В любом случае, ошибки при разработке совершаются всеми, нет ничего абсолютно защищённого, при этом для выявления/недопущения ошибок при разработке нужно потратить значительные силы, а злоумышленнику для успешной атаки бывает достаточно одной единственной незамеченной ошибки. Вообще, программное обеспечение, предназначенное для обработки информации, в случае даже самой критической уязвимости позволит злоумышленнику нарушить, собственно, только конфиденциальность, целостность или доступность самой обрабатываемой информации, но ПО уже давно управляет реальными физическими объектами и число и разновидность таких объектов продолжает расти. Повсеместный переход от электронного управления к цифровому (вытеснение датчиков и простых контроллеров более умными устройствами) порождает всё новые и новые класс “смарт-“ устройств. Смартфонами, умными телевизорами и умными домами сегодня уже никого не удивишь. При этом усложняется и унифицируется встроенное программное обеспечение этих устройств (прошивки), что создаёт предпосылки к повышению вероятности нахождения новых уязвимостей - ошибиться легче, а универсальное ПО за счёт его популярности привлекает большее число исследователей, не все из которых имеют мирные намерения. Собственно, модифицированные прошивки тех же сотовых телефонов были широко распространены среди энтузиастов ещё во времена величия Сименс, Нокиа и прочих Сони Эриксон, а через сервисный разъём автомобилей с помощью соответствующих инструментов можно было не только проводить диагностику, но и выставлять нештатные параметры работы (чип-тюнинг) ВАЗовских девяток со момента появления у них инжекторных двигателей. Инженерные меню, изменённые характеристики двигателя, наконец, джейлбрейк и рутинг сами по себе не обязательно плохи - со своим устройством каждый развлекается так, как считает нужным, а посторонним при отсутствии доверия никто такое делать не позволит. Действительно серьёзные проблемы начались тогда, когда в устройствах стали появляться беспроводные каналы связи, а затем они и вовсе стали подключаться к глобальной сети интернет. Теперь уже не только не нужно подключать провода к автомобилю, чтобы получить над ним контроль, но и вообще можно находиться от него за несколько тысяч километров. Недавние нашумевшие взломы (см. ссылки по теме ниже) наглядное тому подтверждение. В результате всей этой шумихи ответственные производители начнут уделять безопасности большее внимание, а безответственные продолжат подвергать рядовых пользователей риску, пока регуляторы не обяжут их выполнять дополнительные требования (в США, например, уже началась дискуссия на эту тему). Но и тогда не факт, что выполнение этих требований не сведётся к простому формализму. Мне же, как потребителю, во-первых, хотелось бы самому решать, какое устройство и с какой целью может устанавливать беспроводные соединения (механический рычажок с полным отключением всех таких интерфейсов тоже был бы очень кстати), а во-вторых, в таких средствах повышенной опасности как, например, автомобиль желательно было бы иметь два раздельных контура управления - один для мультимедийной и других некритичных систем, а второй, с физической невозможностью подключения через сеть Интернет, для тех систем, от которых может зависеть жизнь водителя и пассажиров (как тут не вспомнить идею “воздушного зазора” при обеспечении безопасности АСУ ТП?). Боюсь только, что при дальнейшей разработке умных автомобилей в погоне за прибылью и удобством для пользователя безопасность опять будет принесена в жертву. Приятные исключения в вопросе выбора правильного баланса между безопасностью и удобством редко, но всё же случаются, может и среди автогигантов найдётся кто-то с похожим подходом? Ну, или будем ждать автомобиль от Apple, рано или поздно сделают же они его =) Ссылки по теме: Hackers Remotely Kill a Jeep on the Highway—With Me in It, WIRED 0-day: теперь и в машинах, Securelist ИБ-эксперт представил устройство, позволяющее дистанционно разблокировать автомобили GM, SecurityLab Хакерам удалось отключить электромобиль Tesla во время движения, РБК Уязвимости в ПО снайперских винтовок позволяет изменить цель поражения, SecurityLab Злоумышленники могут получить контроль над автомобилем с помощью радио, SecurityLab Баг в софте автомобилей Land Rover приводит к самопроизвольному отпиранию дверей, ХабраХабр Автопроизводитель Chrysler выпустил security-обновление для Jeep Grand Cherokee (WK2), ХабраХабр Безопасная разработка приложений на практике, Павел Мельников

  • 06 Августа 2015 » (уязвимость) Хакерам удалось отключить электромобиль Tesla во время движения
    Эксперты по компьютерной безопасности нашли шесть значительных уязвимостей в электромобилях Tesla Model S, которые позволяют хакерам получить контроль над машинами и представляют угрозу для безопасности водителей. Исследования проводили директор по технологиям компании Lookout Кевин Махаффи и старший специалист по безопасности фирмы Cloudflare Марк Роджерс, сообщает Financial Times. Им сначала пришлось получить физический доступ к машине, чтобы подключиться по кабелю к Ethernet-сети, а затем они могли уже манипулировать ее системами удаленно. В ходе испытания они получили контроль за приборами в кабине машины, произвольно изменяли показания спидометра, заставляя его показывать неправильную скорость, опускали и поднимали боковые окна, запирали и отпирали двери автомобиля, а также включали и выключали электропитание. Тестирование проводилось на скорости 8 км/ч. По словам Роджерса, после отключения электричества сработала тормозная система и машина остановилась. При попытке повторить эксперимент на большей скорости не удалось удаленно включить ручной тормоз, но все экраны на приборной панели погасли, а машина перешла на нейтральную скорость и водитель сохранил полный контроль над управлением, что дало ему возможность съехать на обочину. В компании Tesla заявили, что выпустят дополнения к программному обеспечению машины, которые можно будет скачать уже в четверг, 6 августа. Как писал РБК, первый автомобиль Tesla появился в России в 2013 году. По данным руководителя российского Tesla-клуба Андрея Врацкого, на середину июня 2014 года в стране насчитывалось 30–40 машин. По его прогнозу, к началу 2015 года их число должно было превысить сотню. По данным РБК, владельцами Tesla Model S являются гендиректор Mail.Ru Group Дмитрий Гришин, жена главы Минкомсвязи Светлана Никифорова, а у главы Сбербанка Германа Грефа есть два автомобиля этой модели. В конце июля была выявлена уязвимость в программном обеспечении Jeep Cherokee, которая позволяла злоумышленникам отключать их во время движения. В результате Fiat Chrysler была вынуждена отозвать 1,4 млн машин для устранения неисправности. Источник

  • 31 Июля 2015 » (уязвимость) Устройства компании Globalstar для отслеживания ценных грузов уязвимы к кибератакам
    ИБ-исследователь из Synack Колби Мур (Colby Moore) сообщил, что данные определяющих местоположение устройств, которые используют предоставленную компанией Globalstar спутниковую сеть, могут быть перехвачены или подделаны злоумышленниками. Об этом Мур намерен подробно рассказать на предстоящей конференции Black Hat в Лас-Вегасе. Компания Globalstar, штаб-квартира которой расположена в Ковингтоне, Луизиана, США, продала миллионы устройств, которые широко используются в поисково-спасательных операциях, а также для отслеживания ценных грузов. Среди клиентов компании многие нефтяные и газовые предприятия. Мур сообщил, что проблема заключается в том, что в отличие от сервисов Globalstar для спутниковых телефонов, данные этих миллионов устройств не зашифровываются при передаче. Вместо этого система устройства изменяет частоты и передает большой объем несущественной информации, которая может быть отброшена злоумышленником. Мур заявляет, что данная система была изначально построенная неправильно. Эксперту удалось получить доступ к важным данным в процессе передачи. Исследователь сообщил, что проблема возникает из-за архитектурной уязвимости, которую невозможно исправить с помощью обновлений. Помочь может только новое программное обеспечение, позволяющее шифровать трафик, рассказал Мур в телефонном интервью изданию Reuters. Представители Globalstar отказались комментировать данную проблему.

  • 31 Июля 2015 » (уязвимость) Уязвимости в ПО снайперских винтовок позволяет изменить цель поражения
    Исследователи безопасности Руна Сэндвик (Runa Sandvik) и Майкл Огер (Michael Auger) заявили о том, что им удалось успешно проэксплуатировать уязвимости в самонаводящихся снайперских винтовках TrackingPoint. Эксперты опубликовали видео, в котором продемонстрировали, как с помощью брешей в программном обеспечении оружия им удалось скомпрометировать его через Wi-Fi. Как показано в видеоролике, оснащенная компьютером самонаводящаяся снайперская винтовка дальнего действия, стоимость которой составляет $13 тыс. за штуку, позволяет выстрелить только в случае, если ее ствол находится на одной линии с целью, гарантируя высокую точность попадания даже малоопытным стрелкам. Сэндвик и Огер провели реверс-инжиниринг прицела, аппаратного обеспечения и трех сопутствующих мобильных приложений. Им удалось найти способ подключиться к компьютеру винтовки и изменить значения таким образом, чтобы их вмешательство не отображалось на ее экране. Далее исследователи загрузили неверные данные о весе пули, поэтому при определении, когда нужно произвести выстрел, прицел сбивается. Наихудший сценарий, считают эксперты, заключается в том, что злоумышленники могут изменить настройки винтовки таким образом, что она начнет действовать нетипичным для себя образом. Источник

  • 29 Июля 2015 » Почему DLP-система не защитила банк Санкт-Петербург от утечки?
    На прошлой неделе стало известно о хакерской атаке на банк Санкт-Петербург, в результате которой “злоумышленникам стала доступна информация о нескольких тысячах карточных счетов - ФИО, номер счета и номер карты”. Атака примечательна тем, что монетизировать украденную информацию хакеры попытались сразу же - путём вымогательства 29 миллионов рублей в обмен на нераскрытие украденной информации. Шантаж не удался, банк на сделку не согласился, так как по мнению его представителей “никакой угрозы для клиентов нет”. Более того, и в СМИ банк, судя по всему, обратился самостоятельно, опередив злоумышленников, которые угрожали публичной оглаской. Второй любопытный момент с этой атакой - банк выявил взлом, но не пресёк его, а перевёл в контролируемый режим: ...нами была своевременно обнаружена нетипичная для поведения клиентов активность в информационной базе. Специалисты банка изучили ситуацию и пришли к выводу, что данные, получаемые хакерами, не являются критичными для клиентов и не могут повлечь за собой возможность проведения мошеннических операций по их счетам. В результате было принято решение сразу не блокировать их доступ к этой информации, а дождаться, когда правоохранительные органы смогут найти улики, дающие возможность задержать преступников в будущем. Наконец, вишенку на торт истории данного взлома положили коллеги из компании ИнфоВотч, опубликовав на официальном сайте более умеренный текст и без упоминания конкурентов, но при этом разместив в ЖЖ пост с важным пикантным добавлением: Примечательно, что в банке отношение к информационной безопасности сложно назвать наплевательским. В банке внедрена DLP-система «Дозор-Джет» для защиты от утечек данных, отслеживаются сообщения сотрудников по электронной почте, на форумах, в соцсетях. «Мы не настолько богаты, чтобы покупать дешевые решения, - заявил Анатолий Скородумов Коммерсанту, - инвестиции в ИБ – это инвестиции в репутацию компании. С моей лёгкой(?) руки в Twitter и Facebook развернулась оживлённая дискуссия на тему того, что DLP-система не предотвратила эту утечку. Заодно были обсуждены и мои таланты в области "черного PR", но это к сути поста не относится =) Несмотря на использованный мной довольно провокационный тезис, вырванный из контекста поста ИнфоВотч ("В банке Санкт-Петербург, допустившем утечку персональных данных 300 тыс клиентов, была внедрена DLP-система Дозор-Джет"), на мой взгляд, вины вендора и интегратора (на момент самого внедрения, как я понимаю, это было одно и то же) в случившемся нет. Попробую объяснить почему. Во-первых, DLP-система, как и любое средство защиты информации, не даёт 100% гарантии отсутствия утечек (продавцы, утверждающие обратное, мягко говоря, преувеличивают). Речь может идти только о снижении вероятности. Сколько утечек успешно ранее предотвратил Дозор-Джет - мы не знаем, поэтому выводы о его эффективности на основании одного случая сделать не получится. Во-вторых, DLP-система призвана отслеживать лишь ограниченное число потенциальных каналов утечки, а не все мыслимые и немыслимые. Сокращение числа лишних каналов как раз одна из задач при внедрении DLP - в статье Коммерсанта, например, говорится о контроле доступа сотрудников в Интернет с той самой целью сокращения числа каналов утечки. Каким конкретно каналом воспользовались хакеры - не известно, вполне вероятно, что его DLP как раз и не отслеживала. В-третьих, несмотря на то, что в контролируемость самой утечки не так просто поверить, мы имеем официальное заявление банка об этом, сделанное в СМИ, так что DLP-система могла быть просто отключена самими сотрудниками банка. Наконец, надо отметить, что противостояние внешнему взлому не является функцией DLP-системы, поэтому проникшие в сеть банка хакеры могли деактивировать DLP или, выявив её присутствие, воспользоваться какой-либо техникой обхода (для опытного специалиста вряд ли такое будет нерешаемой задачей). Кстати, в статье Коммерсанта, на которую ссылаются коллеги из ИнфоВотч, упоминания конкретного продукта нет, но вроде бы никто из представителей Инфосистем Джет или Solar Security не отрицает факт использования именно DLP-системы Дозор-Джет (текущее название - Solar Dozor). В любом случае, дать адекватную оценку эффективности используемых в банке Санкт-Петербург средств защиты информации можно только обладая полной информацией о случившемся. Было бы здорово, если банк обнародовал результаты внутреннего расследования причин случившегося - полагаю, открытость в данном вопросе нивелировала бы хотя бы частично урон, нанесённый его репутации. Ведь персональные данные всё-таки утекли и не очень правильно будет просто закрыть на это глаза, тут с коллегами из ИнфоВотч соглашусь. Изображение

  • 28 Июля 2015 » (уязвимость) В контроллерах производства Honeywell обнаружена пара багов
    Все ближе тот день, когда дома станут по-настоящему умными, все чаще в них можно встретить автоматизированные устройства, доступные через Сеть. Однако исследователи, решившие изучить, как в этой сфере обстоят дела с безопасностью, обнаружили, что подобные дома, может, и умны, но при этом крайне уязвимы к сетевым атакам. На этот раз уязвимости были обнаружены в контроллере Tuxedo Touch — устройстве производства Honeywell, призванном взять на себя управление такими домашними системами, как безопасность, климат-контроль, освещение и другие. Само собой разумеется, подобное устройство доступно через Сеть. Исследователь из Германии Максим Рупп (Maxim Rupp) обнаружил в нем пару уязвимостей, позволяющих атакующему выполнять произвольные действия, например отпирать двери или изменять настройки климат-контроля. В контроллере присутствуют две разные уязвимости: обход аутентификации и подделка межсайтовых запросов. Первая уязвимость позволяет атакующему обойти механизм аутентификации в системе. «Веб-интерфейс контроллера Honeywell Tuxedo Touch использует JavaScript для аутентификации клиента, перенаправляя неавторизованных пользователей на логин-страницу. Перехватив и модифицировав запросы, содержащие строку USERACCT=USERNAME:,PASSWORD:, неаутентифицированный пользователь может обойти процесс аутентификации и получить доступ к закрытым страницам», — говорится в бюллетене CERT. На практике это означает, что, когда система запрашивает у пользователя юзернейм и пароль, он может просто проигнорировать запрос и получить доступ к закрытым ресурсам. Рупп, за последнее время обнаруживший и огласивший ряд уязвимостей в различных устройствах, включая ветряные турбины, заявил, что эксплуатировать эту уязвимость крайне просто. «Я считаю, что ее эксплойт крайне прост, даже атакующий без особых навыков сможет сделать это удаленно», — отметил эксперт, добавляя, что даже поверхностный поисковый запрос через Shodan выявил несколько сотен уязвимых контроллеров. На самом деле, как считает исследователь, их гораздо больше. «Shodan обнаружил около 500 устройств, из которых 450 находятся на территории США. Я думаю, что более тщательный поисковый запрос смог бы выявить более тысячи устройств», — подчеркнул он. Вторая уязвимость — баг подделки межсайтовых запросов, эксплойт которого требует наличия активной сессии, инициированной аутентифицированным пользователем. «Контроллер Honeywell Tuxedo Touch содержит глобальную уязвимость подделки межсайтовых запросов. Атакующий может исполнять действия с теми же привилегиями, что и жертва, использующая активную сессию и вызвавшая срабатывание вредоносного запроса. Злоумышленник сможет отдавать уязвимому контроллеру команды, например, на запирание или отпирание дверей», — гласит бюллетень CERT. Honeywell выпустила обновление для программного обеспечения уязвимых устройств, закрывшее обнаруженные Руппом бреши. Источник