Алексей КомаровПосты в блоге
Свежие посты
По годам
По датам
18
Августа
2015
» (уязвимость) Баги в оборудовании Schneider Electric остаются открытыми
Спустя почти две недели с момента их разглашения на DEF CON уязвимости в SCADA-оборудовании Schneider Electric остаются непропатченными. В конце прошлой недели группа экстренного реагирования на кибератаки против промышленных систем управления (Industrial Control System Cyber Emergency Response Team, ICS-CERT) издала оповещение о ситуации со Schneider Electric. В настоящий момент организация занята анализом патчей совместно с Адитией Судом (Aditya K. Sood), обнародовавшим уязвимости на DEF CON. Суд заявил, что решение об издании предупреждения было принято после его выступления в Лас-Вегасе, во время которого он раскрыл подробности уязвимостей в программном обеспечении интерфейса оператора модуля Modicon M340 PLC Station P34. Интерфейс оператора используется для визуализации автоматизированных процессов и позволяет администраторам управлять инфраструктурой при помощи одного экрана или нескольких экранов. Уязвимость кроется в модулях, поддерживающих функцию Factory Cast Modbus. «Предупреждение основано на информации из моего выступления на DEF CON, однако есть высокая вероятность того, что атакующие уже используют эти уязвимости в течение какого-то времени», — заявил Суд. Он передал в Schneider Electric отчет и PoC-код для двух удаленно доступных уязвимостей и для одного связанного с ними бага, требующего локального эксплойта. Одна из этих уязвимостей — вшитая учетная запись, о которой, по словам представителей ICS-CERT, им было известно еще до выступления Суда. Суд же заявил, что ему неизвестно, была ли она удалена после обсуждения разработки патча. Две другие уязвимости, удаленное (remote file inclusion, RFI) и локальное включение файлов (local file inclusion, LFI), могут быть использованы либо в ходе фишинговых атак с использованием специально созданной URL-ссылки, либо же при наличии у атакующего физического доступа к программному обеспечению. «Опасность ситуации в том, что злоумышленник может атаковать пользователей или администраторов SCADA-системы при помощи URL-ссылки, которая, будучи кликнута, исполнит код, хранящийся на стороннем домене, — заявил Суд. — Таким же образом и локальный файл может быть скачан при помощи LFI-атаки, однако хочу заметить, что в подобных случаях RFI куда опаснее» Схожая RFI-уязвимость была обнаружена в веб-интерфейсах Rockwell Automation 1766-L32BWAA/1766-L32BXBA, программируемых логических контроллерах, используемых на многих предприятиях. «Уязвимости включения файлов достаточно просто пропатчить, но это зависит от ICS-вендоров», — заявил Суд. Ранее в этом году Rockwell усилила ненадежную защиту паролей в интерфейсе оператора RSView32, в котором для защиты паролей использовался устаревший криптографический алгоритм. Источник
17
Августа
2015
» Как я проверял, что уязвимость у Банка Тинькофф была уязвимостью
В прошлом месяце я описывал потенциальную уязвимость в сервисе по рассылке ежемесячных выписок Банка Тинькофф. Кратко напомню, что суть состояла в том, что на странице, куда переходил пользователь из письма от банка, присутствовали встроенные сервисы рекламы и статистики, которые вместе с пользователем (а ссылка не требовала авторизации и открывалась по простому клику) потенциально могли получить доступ к его pdf-файлу с выпиской (подробнее здесь: Хороший плохой Тинькофф Банк). История, в целом, закончилась хорошо - банк по итогам обращения коллеги из УЦСБ и моей переписки c его официальным аккаунтом в Твиттере благополучно уязвимость исправил (@tinkoff_bank даже теперь на меня подписан в твиттере, что, несомненно, приятно). Единственным нюансом, якобы показывающим ложность найденной уязвимости, был комментарий в Facebook от представителя компании Лаборатории Касперского о том, что настройки на стороне Банка Тинькофф предполагали, что ссылка должна открываться без авторизации только на тех устройствах, с которых пользователь ранее входил в Интернет-банк. На прошлой неделе мне пришло очередное письмо с ссылкой на ежемесячную выписку и я, даже толком не изучив саму выписку - а вдруг там бонус за помощь в раскрытии уязвимости? =) - первым делом стал проверять доступность ссылки с других устройств. Результаты эксперимента подтвердили справедливость моих опасений. Итак, ссылка в письме имеет вид: http://click.email.tinkoff.ru/?qs=19b5ed2250b0f0f239573633916015835caeb406686ac991dbaeb05216da9d159fee8cf03c43b0df (ссылка нерабочая, так как я её придумал сам, подобрав внешне похожую). После её открытия пользователь оказывался на странице с адресом типа такого: https://www.tinkoff.ru/statement/?ticket=746F5GFADF27B494BA7AB71B1E9DCD7EDC90CD30F808778E031742F8B8C23F554F (ссылка нерабочая, т.к. см. выше). Наконец, на самой странице отрабатывал скрипт, который по ссылке совсем уж сложного вида скачивал PDF-файл. Ссылка на файл получалась примерно такой: https://www.tinkoff.ru/api/v1/statement_file/?sessionid=njGVfr37h8jk96sFii8M4Lz8fm0b90LS.m1-api03&account=9836386326&statementId=987545912&scenario=portal_statement (см. выше) Вторую и третью ссылку (в отличие от той первой, что была в самом письме) должен знать только пользователь, а для сторонних сервисов она, согласно комментарию специалистов ЛК, должна быть нерабочей, так как с их устройств явно не проводилось никакой авторизации в интернет-банке Банка Тинькофф. Тем не менее, скачав и запустив Tor Browser (одно из самых простых и удобных средств для анонимизации себя в сети Интернет) я с лёгкостью убедился, что скормленные ему вторая и даже третья ссылки прекрасно позволяют скачать PDF-файл с выпиской. Для полноты картины добавлю, что Tor Browser запускался в виртуальной машине, установленной на моём ноутбуке, находящемся в это время вместе со мной в другой стране - в Армении на Партнёрской конференции ИнфоВотч (про неё чуть позже отдельно напишу). Из данной виртуальной машины вообще ни разу не осуществлялась авторизация в Интернет-банке Банка Тинькофф, а Tor Browser и вовсе был скачан за пять минут до начала эксперимента. В общем, мне трудно представить, как именно отслеживает Банк Тинькофф те самые устройства, с которых ранее происходил вход. Полная цитата Aleks Gostev в Facebook: "т.е. открывается без запроса логина/пароля и позволяет скачать выписку любому, кто знает правильный адрес ссылки." - на самом деле нет. Мы эту "багу" в первый же день отловили. Там нормальные куки и проверки на авторизацию - так что с другой машины ссылка не работает. Как куки с бразуера хоста попали в куки браузера Tor Browser виртуальной машины я не знаю. Разве что у меня на ноутбуке уже давно работает троян от Тинькофф? =) Среди клиентов Hacking Team я их не видел, купили у кого-то другого? =) Сейчас уже принципиального значения данный эксперимент не имеет, так как Банк всё исправил. Вернее, он имеет разве что как раз только принципиальное значение - как демонстрация того, что уязвимость была =)
17
Августа
2015
» (уязвимость) Атака OwnStar работает и против машин BMW, Chrysler и Mercedes
Атака OwnStar, которую хакер Сэми Камкар (Samy Kamkar) представил в конце прошлого месяца, может быть использована не только против автомобилей производства GM, но и против машин, производимых Mercedes-Benz, BMW и Chrysler. Суть атаки в том, чтобы перехватывать трафик находящихся рядом мобильных устройств, на которых запущены приложения, позволяющие управлять защитными функциями транспортных средств. Камкар разработал свое устройство, названное им OwnStar, на базе Raspberry Pi. Изначально оно предназначалось для атак на приложение GM OnStar RemoteLink. Устройство позволяет перехватывать трафик, посылать особые пакеты на устройство, получать учетные данные и локализовать, отпирать двери и включать зажигание целевого автомобиля. «Если пользователь запустит приложение RemoteLink на своем телефоне, находящемся неподалеку от OwnStar, устройство перехватит трафик и, передавая особые пакеты, получит дополнительные учетные данные, затем сообщит мне, атакующему, данные о скомпрометированном автомобиле, включая его расположение, компанию-производителя и модель», — заявил Камкар, комментируя видеоролик, демонстрирующий атаку. После того как эксперт раскрыл подробности своей атаки, основанной на уязвимости в приложении RemoteLink, GM оперативно выпустила фикс, закрывший брешь. Однако Камкар заявил, что его атака работает и против приложений, используемых для управления автомобилями производства BMW, Mercedes-Benz и Chrysler. Он заявил, что уязвимыми являются приложения BMW Remote, Mercedes-Benz mbrace и Chrysler Uconnect. Основная проблема в том, что приложения не могут корректно валидировать SSL-сертификаты. В последние недели Камкар сосредоточился исключительно на проблеме безопасности транспортных средств. На прошлой неделе на DEF CON он представил еще одно устройство, названное им RollJam, которое позволяет перехватывать сигналы от устройств дистанционного управления, а затем проигрывать их для отпирания дверей. Устройство может быть спрятано под машиной и работает против автомобилей, использующих непрерывно изменяющийся код. «То есть вы идете к своей машине, нажимаете кнопку на брелоке, но, так как сигнал глушится, автомобиль его «услышать» не может. Но зато сигнал с брелока «услышит» мой девайс. И тогда он перехватит код, который так и не дошел до вашей машины», — объяснил Камкар. Источник
14
Августа
2015
» (уязвимость) [IoT] Электронные браслеты для осужденных удалось взломать
Взломав электронные браслеты, преступники смогут обманывать полицейских, следует из сообщения Help Net Security. Ненадежность браслетов, которые призваны сообщать полиции о местонахождении осужденных, обнаружил исследователь безопасности Уильям Тернер (Amm0nRa). Эксперт сумел взломать устройство производства тайваньской компании GWG International. Гаджет использует GPS и коротковолновые радиочастоты, чтобы установить местоположение человека, на лодыжку которого он надет. Затем по мобильной связи девайс отправляет информацию в службу мониторинга, относящуюся к правоохранительным органам. Исследователь сумел обойти систему защиты браслета от попыток его снять или провести другие манипуляции с ним. Он обернул браслет оловянной фольгой, купленной им за $2, блокировал сигнал, после чего заставил девайс подключиться к сети, которую создал сам Тернер. Это позволило исследователю перехватить исходящее сообщение, которое должно было предупредить полицейских, что браслет открыт. Специалист достал SIM-карту из девайса, засунул ее в мобильный телефон и отправил послание на другой телефон, чтобы узнать, какой номер привязан к этой SIM-карте. Владея этой информацией, исследователь прибег к SMS-спуфингу и отослал полиции сообщение, что преступник находится дома. Тернер испробовал этот метод на одном девайсе, однако, по его словам, подобная уязвимость присутствует и в других устройствах, функционирующих по такому же принципу. Добавим, что недавно исследователи сумели совершить взлом, который должен был заинтересовать как преступников, так и правоохранительные органы. Эксперты по безопасности «вскрыли» сейф при помощи флешки. Раньше грабителям-медвежатникам, специализирующимся на взломе сейфов, приходилось опираться на инструменты и взрывчатку, чтобы получить доступ в недра сейфов. Сегодня сейфы «поумнели», но, как выяснилось, технологии только сделали некоторые из них более уязвимыми. Источник
07
Августа
2015
» (комментарий) TheLifeNews - 43% соотечественников предпочитают хранить сбережения в наличных
TheLifeNews опубликовали мой комментарий к информации о том, что граждане России выбирают оплату наличными деньгами, а накопленные средства предпочитают оставлять дома, а не хранить в банковских учреждениях. Одна из возможных причин выбора наличных заключается в их способности обезличивать покупателя, — комментирует сложившуюся ситуацию Алексей Комаров, независимый эксперт в области информационной безопасности, защиты информации и безопасности промышленных систем автоматизации: - В отличие от любых форм онлайн-оплаты и оплаты банковскими картами, бумажные денежные знаки не оставляют электронных следов, что в век процветания мошенничества в сети Интернет достаточно ценно. Обезопасить себя от злоумышленников можно, но это потребует постоянного внимания и проявления осторожности со стороны самого пользователя. Киберпреступнику же достаточно всего одной ошибки. Недоверие же к банковским вкладам дополнительно обуславливается общей нестабильностью и регулярным отзывом банковских лицензий. Получить свои деньги вкладчик закрывшегося банка, если он был включён в систему страхования вкладов, в итоге сможет, но валюта, например, может быть конвертирована по не самому выгодному курсу. Стабильные банки из первой десятки предлагают настолько низкие проценты для тех же валютных вкладов, что большого смысла в таких вкладах и нет. Доллар же дорожает сам собой просто лёжа в тумбочке. Публикация полностью здесь, TheLifeNews 29 июля 2015.
07
Августа
2015
» (уязвимость) Стиральная машина и кондиционер могут передавать радиосигнал
Специалисты по безопасности из американского стартапа Red Balloon Security показали, как с помощью обычных бытовых приборов можно передавать информацию. Это делается с помощью колебания электромагнитного излучения, которое излучает прибор. Колебания улавливаются и декодируются удаленно. Колебания излучения достигаются за счет быстрого изменения напряжения питания на микросхеме. Передавать информацию таким образом способны многие приборы: хоть принтер, хоть стиральная машина, хоть печь СВЧ. Любой прибор с электронной начинкой превращается в радиопередатчик. Стартап Red Balloon Security, вероятно, хочет коммерциализировать разработку каким-то образом. Они провели презентацию для прессы и запустили демонстрационный веб-сайт funtenna.org. Во время демонстрации они заменили прошивку лазерного принтера Pantum и внесли изменения в его электронику. После этого показали, как расположенный неподалеку компьютер с радиопремником расшифровывает сигнал. По их словам, подключенные к устройству кабели служат усилителем сигнала. В принципе, разработка имеет практическую ценность. Теоретически, с ее помощью можно удаленно незаметно передавать информацию из корпоративной сети, которая не подключена к интернету. Например, из центра управления атомной станцией или другим стратегически важным объектом. Правда, как это сделать на практике, не совсем понятно. Представитель компании Ан Цуй (Ang Cui) выступил с докладом на конференции Black Hat, где показал VoIP-телефон, принтер, жесткий диск и сетевую карту, излучающие по несколько байт в секунду. Источник
07
Августа
2015
» Не обеспечивающее безопасность программное обеспечение
Причин, по которым в современном программном обеспечении находили, находят и продолжат находить уязвимости, мягко говоря, чуть более одной. Можно назвать сложность самого программного обеспечения и средств разработки, дороговизну организации процесса безопасной разработки (не все ведь могут понять и принять тот факт, что стоимость исправления ошибки позднее может стоить дороже), ограниченные человеческие и временные ресурсы (конкуренты не будут ждать, пока разработанная новая версия пройдёт полный цикл тестирования) и т.п. В любом случае, ошибки при разработке совершаются всеми, нет ничего абсолютно защищённого, при этом для выявления/недопущения ошибок при разработке нужно потратить значительные силы, а злоумышленнику для успешной атаки бывает достаточно одной единственной незамеченной ошибки. Вообще, программное обеспечение, предназначенное для обработки информации, в случае даже самой критической уязвимости позволит злоумышленнику нарушить, собственно, только конфиденциальность, целостность или доступность самой обрабатываемой информации, но ПО уже давно управляет реальными физическими объектами и число и разновидность таких объектов продолжает расти. Повсеместный переход от электронного управления к цифровому (вытеснение датчиков и простых контроллеров более умными устройствами) порождает всё новые и новые класс “смарт-“ устройств. Смартфонами, умными телевизорами и умными домами сегодня уже никого не удивишь. При этом усложняется и унифицируется встроенное программное обеспечение этих устройств (прошивки), что создаёт предпосылки к повышению вероятности нахождения новых уязвимостей - ошибиться легче, а универсальное ПО за счёт его популярности привлекает большее число исследователей, не все из которых имеют мирные намерения. Собственно, модифицированные прошивки тех же сотовых телефонов были широко распространены среди энтузиастов ещё во времена величия Сименс, Нокиа и прочих Сони Эриксон, а через сервисный разъём автомобилей с помощью соответствующих инструментов можно было не только проводить диагностику, но и выставлять нештатные параметры работы (чип-тюнинг) ВАЗовских девяток со момента появления у них инжекторных двигателей. Инженерные меню, изменённые характеристики двигателя, наконец, джейлбрейк и рутинг сами по себе не обязательно плохи - со своим устройством каждый развлекается так, как считает нужным, а посторонним при отсутствии доверия никто такое делать не позволит. Действительно серьёзные проблемы начались тогда, когда в устройствах стали появляться беспроводные каналы связи, а затем они и вовсе стали подключаться к глобальной сети интернет. Теперь уже не только не нужно подключать провода к автомобилю, чтобы получить над ним контроль, но и вообще можно находиться от него за несколько тысяч километров. Недавние нашумевшие взломы (см. ссылки по теме ниже) наглядное тому подтверждение. В результате всей этой шумихи ответственные производители начнут уделять безопасности большее внимание, а безответственные продолжат подвергать рядовых пользователей риску, пока регуляторы не обяжут их выполнять дополнительные требования (в США, например, уже началась дискуссия на эту тему). Но и тогда не факт, что выполнение этих требований не сведётся к простому формализму. Мне же, как потребителю, во-первых, хотелось бы самому решать, какое устройство и с какой целью может устанавливать беспроводные соединения (механический рычажок с полным отключением всех таких интерфейсов тоже был бы очень кстати), а во-вторых, в таких средствах повышенной опасности как, например, автомобиль желательно было бы иметь два раздельных контура управления - один для мультимедийной и других некритичных систем, а второй, с физической невозможностью подключения через сеть Интернет, для тех систем, от которых может зависеть жизнь водителя и пассажиров (как тут не вспомнить идею “воздушного зазора” при обеспечении безопасности АСУ ТП?). Боюсь только, что при дальнейшей разработке умных автомобилей в погоне за прибылью и удобством для пользователя безопасность опять будет принесена в жертву. Приятные исключения в вопросе выбора правильного баланса между безопасностью и удобством редко, но всё же случаются, может и среди автогигантов найдётся кто-то с похожим подходом? Ну, или будем ждать автомобиль от Apple, рано или поздно сделают же они его =) Ссылки по теме: Hackers Remotely Kill a Jeep on the Highway—With Me in It, WIRED 0-day: теперь и в машинах, Securelist ИБ-эксперт представил устройство, позволяющее дистанционно разблокировать автомобили GM, SecurityLab Хакерам удалось отключить электромобиль Tesla во время движения, РБК Уязвимости в ПО снайперских винтовок позволяет изменить цель поражения, SecurityLab Злоумышленники могут получить контроль над автомобилем с помощью радио, SecurityLab Баг в софте автомобилей Land Rover приводит к самопроизвольному отпиранию дверей, ХабраХабр Автопроизводитель Chrysler выпустил security-обновление для Jeep Grand Cherokee (WK2), ХабраХабр Безопасная разработка приложений на практике, Павел Мельников
06
Августа
2015
» (уязвимость) Хакерам удалось отключить электромобиль Tesla во время движения
Эксперты по компьютерной безопасности нашли шесть значительных уязвимостей в электромобилях Tesla Model S, которые позволяют хакерам получить контроль над машинами и представляют угрозу для безопасности водителей. Исследования проводили директор по технологиям компании Lookout Кевин Махаффи и старший специалист по безопасности фирмы Cloudflare Марк Роджерс, сообщает Financial Times. Им сначала пришлось получить физический доступ к машине, чтобы подключиться по кабелю к Ethernet-сети, а затем они могли уже манипулировать ее системами удаленно. В ходе испытания они получили контроль за приборами в кабине машины, произвольно изменяли показания спидометра, заставляя его показывать неправильную скорость, опускали и поднимали боковые окна, запирали и отпирали двери автомобиля, а также включали и выключали электропитание. Тестирование проводилось на скорости 8 км/ч. По словам Роджерса, после отключения электричества сработала тормозная система и машина остановилась. При попытке повторить эксперимент на большей скорости не удалось удаленно включить ручной тормоз, но все экраны на приборной панели погасли, а машина перешла на нейтральную скорость и водитель сохранил полный контроль над управлением, что дало ему возможность съехать на обочину. В компании Tesla заявили, что выпустят дополнения к программному обеспечению машины, которые можно будет скачать уже в четверг, 6 августа. Как писал РБК, первый автомобиль Tesla появился в России в 2013 году. По данным руководителя российского Tesla-клуба Андрея Врацкого, на середину июня 2014 года в стране насчитывалось 30–40 машин. По его прогнозу, к началу 2015 года их число должно было превысить сотню. По данным РБК, владельцами Tesla Model S являются гендиректор Mail.Ru Group Дмитрий Гришин, жена главы Минкомсвязи Светлана Никифорова, а у главы Сбербанка Германа Грефа есть два автомобиля этой модели. В конце июля была выявлена уязвимость в программном обеспечении Jeep Cherokee, которая позволяла злоумышленникам отключать их во время движения. В результате Fiat Chrysler была вынуждена отозвать 1,4 млн машин для устранения неисправности. Источник
31
Июля
2015
» (уязвимость) Устройства компании Globalstar для отслеживания ценных грузов уязвимы к кибератакам
ИБ-исследователь из Synack Колби Мур (Colby Moore) сообщил, что данные определяющих местоположение устройств, которые используют предоставленную компанией Globalstar спутниковую сеть, могут быть перехвачены или подделаны злоумышленниками. Об этом Мур намерен подробно рассказать на предстоящей конференции Black Hat в Лас-Вегасе. Компания Globalstar, штаб-квартира которой расположена в Ковингтоне, Луизиана, США, продала миллионы устройств, которые широко используются в поисково-спасательных операциях, а также для отслеживания ценных грузов. Среди клиентов компании многие нефтяные и газовые предприятия. Мур сообщил, что проблема заключается в том, что в отличие от сервисов Globalstar для спутниковых телефонов, данные этих миллионов устройств не зашифровываются при передаче. Вместо этого система устройства изменяет частоты и передает большой объем несущественной информации, которая может быть отброшена злоумышленником. Мур заявляет, что данная система была изначально построенная неправильно. Эксперту удалось получить доступ к важным данным в процессе передачи. Исследователь сообщил, что проблема возникает из-за архитектурной уязвимости, которую невозможно исправить с помощью обновлений. Помочь может только новое программное обеспечение, позволяющее шифровать трафик, рассказал Мур в телефонном интервью изданию Reuters. Представители Globalstar отказались комментировать данную проблему.
31
Июля
2015
» (уязвимость) Уязвимости в ПО снайперских винтовок позволяет изменить цель поражения
Исследователи безопасности Руна Сэндвик (Runa Sandvik) и Майкл Огер (Michael Auger) заявили о том, что им удалось успешно проэксплуатировать уязвимости в самонаводящихся снайперских винтовках TrackingPoint. Эксперты опубликовали видео, в котором продемонстрировали, как с помощью брешей в программном обеспечении оружия им удалось скомпрометировать его через Wi-Fi. Как показано в видеоролике, оснащенная компьютером самонаводящаяся снайперская винтовка дальнего действия, стоимость которой составляет $13 тыс. за штуку, позволяет выстрелить только в случае, если ее ствол находится на одной линии с целью, гарантируя высокую точность попадания даже малоопытным стрелкам. Сэндвик и Огер провели реверс-инжиниринг прицела, аппаратного обеспечения и трех сопутствующих мобильных приложений. Им удалось найти способ подключиться к компьютеру винтовки и изменить значения таким образом, чтобы их вмешательство не отображалось на ее экране. Далее исследователи загрузили неверные данные о весе пули, поэтому при определении, когда нужно произвести выстрел, прицел сбивается. Наихудший сценарий, считают эксперты, заключается в том, что злоумышленники могут изменить настройки винтовки таким образом, что она начнет действовать нетипичным для себя образом. Источник
Спустя почти две недели с момента их разглашения на DEF CON уязвимости в SCADA-оборудовании Schneider Electric остаются непропатченными. В конце прошлой недели группа экстренного реагирования на кибератаки против промышленных систем управления (Industrial Control System Cyber Emergency Response Team, ICS-CERT) издала оповещение о ситуации со Schneider Electric. В настоящий момент организация занята анализом патчей совместно с Адитией Судом (Aditya K. Sood), обнародовавшим уязвимости на DEF CON. Суд заявил, что решение об издании предупреждения было принято после его выступления в Лас-Вегасе, во время которого он раскрыл подробности уязвимостей в программном обеспечении интерфейса оператора модуля Modicon M340 PLC Station P34. Интерфейс оператора используется для визуализации автоматизированных процессов и позволяет администраторам управлять инфраструктурой при помощи одного экрана или нескольких экранов. Уязвимость кроется в модулях, поддерживающих функцию Factory Cast Modbus. «Предупреждение основано на информации из моего выступления на DEF CON, однако есть высокая вероятность того, что атакующие уже используют эти уязвимости в течение какого-то времени», — заявил Суд. Он передал в Schneider Electric отчет и PoC-код для двух удаленно доступных уязвимостей и для одного связанного с ними бага, требующего локального эксплойта. Одна из этих уязвимостей — вшитая учетная запись, о которой, по словам представителей ICS-CERT, им было известно еще до выступления Суда. Суд же заявил, что ему неизвестно, была ли она удалена после обсуждения разработки патча. Две другие уязвимости, удаленное (remote file inclusion, RFI) и локальное включение файлов (local file inclusion, LFI), могут быть использованы либо в ходе фишинговых атак с использованием специально созданной URL-ссылки, либо же при наличии у атакующего физического доступа к программному обеспечению. «Опасность ситуации в том, что злоумышленник может атаковать пользователей или администраторов SCADA-системы при помощи URL-ссылки, которая, будучи кликнута, исполнит код, хранящийся на стороннем домене, — заявил Суд. — Таким же образом и локальный файл может быть скачан при помощи LFI-атаки, однако хочу заметить, что в подобных случаях RFI куда опаснее» Схожая RFI-уязвимость была обнаружена в веб-интерфейсах Rockwell Automation 1766-L32BWAA/1766-L32BXBA, программируемых логических контроллерах, используемых на многих предприятиях. «Уязвимости включения файлов достаточно просто пропатчить, но это зависит от ICS-вендоров», — заявил Суд. Ранее в этом году Rockwell усилила ненадежную защиту паролей в интерфейсе оператора RSView32, в котором для защиты паролей использовался устаревший криптографический алгоритм. Источник
В прошлом месяце я описывал потенциальную уязвимость в сервисе по рассылке ежемесячных выписок Банка Тинькофф. Кратко напомню, что суть состояла в том, что на странице, куда переходил пользователь из письма от банка, присутствовали встроенные сервисы рекламы и статистики, которые вместе с пользователем (а ссылка не требовала авторизации и открывалась по простому клику) потенциально могли получить доступ к его pdf-файлу с выпиской (подробнее здесь: Хороший плохой Тинькофф Банк). История, в целом, закончилась хорошо - банк по итогам обращения коллеги из УЦСБ и моей переписки c его официальным аккаунтом в Твиттере благополучно уязвимость исправил (@tinkoff_bank даже теперь на меня подписан в твиттере, что, несомненно, приятно). Единственным нюансом, якобы показывающим ложность найденной уязвимости, был комментарий в Facebook от представителя компании Лаборатории Касперского о том, что настройки на стороне Банка Тинькофф предполагали, что ссылка должна открываться без авторизации только на тех устройствах, с которых пользователь ранее входил в Интернет-банк. На прошлой неделе мне пришло очередное письмо с ссылкой на ежемесячную выписку и я, даже толком не изучив саму выписку - а вдруг там бонус за помощь в раскрытии уязвимости? =) - первым делом стал проверять доступность ссылки с других устройств. Результаты эксперимента подтвердили справедливость моих опасений. Итак, ссылка в письме имеет вид: http://click.email.tinkoff.ru/?qs=19b5ed2250b0f0f239573633916015835caeb406686ac991dbaeb05216da9d159fee8cf03c43b0df (ссылка нерабочая, так как я её придумал сам, подобрав внешне похожую). После её открытия пользователь оказывался на странице с адресом типа такого: https://www.tinkoff.ru/statement/?ticket=746F5GFADF27B494BA7AB71B1E9DCD7EDC90CD30F808778E031742F8B8C23F554F (ссылка нерабочая, т.к. см. выше). Наконец, на самой странице отрабатывал скрипт, который по ссылке совсем уж сложного вида скачивал PDF-файл. Ссылка на файл получалась примерно такой: https://www.tinkoff.ru/api/v1/statement_file/?sessionid=njGVfr37h8jk96sFii8M4Lz8fm0b90LS.m1-api03&account=9836386326&statementId=987545912&scenario=portal_statement (см. выше) Вторую и третью ссылку (в отличие от той первой, что была в самом письме) должен знать только пользователь, а для сторонних сервисов она, согласно комментарию специалистов ЛК, должна быть нерабочей, так как с их устройств явно не проводилось никакой авторизации в интернет-банке Банка Тинькофф. Тем не менее, скачав и запустив Tor Browser (одно из самых простых и удобных средств для анонимизации себя в сети Интернет) я с лёгкостью убедился, что скормленные ему вторая и даже третья ссылки прекрасно позволяют скачать PDF-файл с выпиской. Для полноты картины добавлю, что Tor Browser запускался в виртуальной машине, установленной на моём ноутбуке, находящемся в это время вместе со мной в другой стране - в Армении на Партнёрской конференции ИнфоВотч (про неё чуть позже отдельно напишу). Из данной виртуальной машины вообще ни разу не осуществлялась авторизация в Интернет-банке Банка Тинькофф, а Tor Browser и вовсе был скачан за пять минут до начала эксперимента. В общем, мне трудно представить, как именно отслеживает Банк Тинькофф те самые устройства, с которых ранее происходил вход. Полная цитата Aleks Gostev в Facebook: "т.е. открывается без запроса логина/пароля и позволяет скачать выписку любому, кто знает правильный адрес ссылки." - на самом деле нет. Мы эту "багу" в первый же день отловили. Там нормальные куки и проверки на авторизацию - так что с другой машины ссылка не работает. Как куки с бразуера хоста попали в куки браузера Tor Browser виртуальной машины я не знаю. Разве что у меня на ноутбуке уже давно работает троян от Тинькофф? =) Среди клиентов Hacking Team я их не видел, купили у кого-то другого? =) Сейчас уже принципиального значения данный эксперимент не имеет, так как Банк всё исправил. Вернее, он имеет разве что как раз только принципиальное значение - как демонстрация того, что уязвимость была =)
Атака OwnStar, которую хакер Сэми Камкар (Samy Kamkar) представил в конце прошлого месяца, может быть использована не только против автомобилей производства GM, но и против машин, производимых Mercedes-Benz, BMW и Chrysler. Суть атаки в том, чтобы перехватывать трафик находящихся рядом мобильных устройств, на которых запущены приложения, позволяющие управлять защитными функциями транспортных средств. Камкар разработал свое устройство, названное им OwnStar, на базе Raspberry Pi. Изначально оно предназначалось для атак на приложение GM OnStar RemoteLink. Устройство позволяет перехватывать трафик, посылать особые пакеты на устройство, получать учетные данные и локализовать, отпирать двери и включать зажигание целевого автомобиля. «Если пользователь запустит приложение RemoteLink на своем телефоне, находящемся неподалеку от OwnStar, устройство перехватит трафик и, передавая особые пакеты, получит дополнительные учетные данные, затем сообщит мне, атакующему, данные о скомпрометированном автомобиле, включая его расположение, компанию-производителя и модель», — заявил Камкар, комментируя видеоролик, демонстрирующий атаку. После того как эксперт раскрыл подробности своей атаки, основанной на уязвимости в приложении RemoteLink, GM оперативно выпустила фикс, закрывший брешь. Однако Камкар заявил, что его атака работает и против приложений, используемых для управления автомобилями производства BMW, Mercedes-Benz и Chrysler. Он заявил, что уязвимыми являются приложения BMW Remote, Mercedes-Benz mbrace и Chrysler Uconnect. Основная проблема в том, что приложения не могут корректно валидировать SSL-сертификаты. В последние недели Камкар сосредоточился исключительно на проблеме безопасности транспортных средств. На прошлой неделе на DEF CON он представил еще одно устройство, названное им RollJam, которое позволяет перехватывать сигналы от устройств дистанционного управления, а затем проигрывать их для отпирания дверей. Устройство может быть спрятано под машиной и работает против автомобилей, использующих непрерывно изменяющийся код. «То есть вы идете к своей машине, нажимаете кнопку на брелоке, но, так как сигнал глушится, автомобиль его «услышать» не может. Но зато сигнал с брелока «услышит» мой девайс. И тогда он перехватит код, который так и не дошел до вашей машины», — объяснил Камкар. Источник
Взломав электронные браслеты, преступники смогут обманывать полицейских, следует из сообщения Help Net Security. Ненадежность браслетов, которые призваны сообщать полиции о местонахождении осужденных, обнаружил исследователь безопасности Уильям Тернер (Amm0nRa). Эксперт сумел взломать устройство производства тайваньской компании GWG International. Гаджет использует GPS и коротковолновые радиочастоты, чтобы установить местоположение человека, на лодыжку которого он надет. Затем по мобильной связи девайс отправляет информацию в службу мониторинга, относящуюся к правоохранительным органам. Исследователь сумел обойти систему защиты браслета от попыток его снять или провести другие манипуляции с ним. Он обернул браслет оловянной фольгой, купленной им за $2, блокировал сигнал, после чего заставил девайс подключиться к сети, которую создал сам Тернер. Это позволило исследователю перехватить исходящее сообщение, которое должно было предупредить полицейских, что браслет открыт. Специалист достал SIM-карту из девайса, засунул ее в мобильный телефон и отправил послание на другой телефон, чтобы узнать, какой номер привязан к этой SIM-карте. Владея этой информацией, исследователь прибег к SMS-спуфингу и отослал полиции сообщение, что преступник находится дома. Тернер испробовал этот метод на одном девайсе, однако, по его словам, подобная уязвимость присутствует и в других устройствах, функционирующих по такому же принципу. Добавим, что недавно исследователи сумели совершить взлом, который должен был заинтересовать как преступников, так и правоохранительные органы. Эксперты по безопасности «вскрыли» сейф при помощи флешки. Раньше грабителям-медвежатникам, специализирующимся на взломе сейфов, приходилось опираться на инструменты и взрывчатку, чтобы получить доступ в недра сейфов. Сегодня сейфы «поумнели», но, как выяснилось, технологии только сделали некоторые из них более уязвимыми. Источник
TheLifeNews опубликовали мой комментарий к информации о том, что граждане России выбирают оплату наличными деньгами, а накопленные средства предпочитают оставлять дома, а не хранить в банковских учреждениях. Одна из возможных причин выбора наличных заключается в их способности обезличивать покупателя, — комментирует сложившуюся ситуацию Алексей Комаров, независимый эксперт в области информационной безопасности, защиты информации и безопасности промышленных систем автоматизации: - В отличие от любых форм онлайн-оплаты и оплаты банковскими картами, бумажные денежные знаки не оставляют электронных следов, что в век процветания мошенничества в сети Интернет достаточно ценно. Обезопасить себя от злоумышленников можно, но это потребует постоянного внимания и проявления осторожности со стороны самого пользователя. Киберпреступнику же достаточно всего одной ошибки. Недоверие же к банковским вкладам дополнительно обуславливается общей нестабильностью и регулярным отзывом банковских лицензий. Получить свои деньги вкладчик закрывшегося банка, если он был включён в систему страхования вкладов, в итоге сможет, но валюта, например, может быть конвертирована по не самому выгодному курсу. Стабильные банки из первой десятки предлагают настолько низкие проценты для тех же валютных вкладов, что большого смысла в таких вкладах и нет. Доллар же дорожает сам собой просто лёжа в тумбочке. Публикация полностью здесь, TheLifeNews 29 июля 2015.
Специалисты по безопасности из американского стартапа Red Balloon Security показали, как с помощью обычных бытовых приборов можно передавать информацию. Это делается с помощью колебания электромагнитного излучения, которое излучает прибор. Колебания улавливаются и декодируются удаленно. Колебания излучения достигаются за счет быстрого изменения напряжения питания на микросхеме. Передавать информацию таким образом способны многие приборы: хоть принтер, хоть стиральная машина, хоть печь СВЧ. Любой прибор с электронной начинкой превращается в радиопередатчик. Стартап Red Balloon Security, вероятно, хочет коммерциализировать разработку каким-то образом. Они провели презентацию для прессы и запустили демонстрационный веб-сайт funtenna.org. Во время демонстрации они заменили прошивку лазерного принтера Pantum и внесли изменения в его электронику. После этого показали, как расположенный неподалеку компьютер с радиопремником расшифровывает сигнал. По их словам, подключенные к устройству кабели служат усилителем сигнала. В принципе, разработка имеет практическую ценность. Теоретически, с ее помощью можно удаленно незаметно передавать информацию из корпоративной сети, которая не подключена к интернету. Например, из центра управления атомной станцией или другим стратегически важным объектом. Правда, как это сделать на практике, не совсем понятно. Представитель компании Ан Цуй (Ang Cui) выступил с докладом на конференции Black Hat, где показал VoIP-телефон, принтер, жесткий диск и сетевую карту, излучающие по несколько байт в секунду. Источник
Причин, по которым в современном программном обеспечении находили, находят и продолжат находить уязвимости, мягко говоря, чуть более одной. Можно назвать сложность самого программного обеспечения и средств разработки, дороговизну организации процесса безопасной разработки (не все ведь могут понять и принять тот факт, что стоимость исправления ошибки позднее может стоить дороже), ограниченные человеческие и временные ресурсы (конкуренты не будут ждать, пока разработанная новая версия пройдёт полный цикл тестирования) и т.п. В любом случае, ошибки при разработке совершаются всеми, нет ничего абсолютно защищённого, при этом для выявления/недопущения ошибок при разработке нужно потратить значительные силы, а злоумышленнику для успешной атаки бывает достаточно одной единственной незамеченной ошибки. Вообще, программное обеспечение, предназначенное для обработки информации, в случае даже самой критической уязвимости позволит злоумышленнику нарушить, собственно, только конфиденциальность, целостность или доступность самой обрабатываемой информации, но ПО уже давно управляет реальными физическими объектами и число и разновидность таких объектов продолжает расти. Повсеместный переход от электронного управления к цифровому (вытеснение датчиков и простых контроллеров более умными устройствами) порождает всё новые и новые класс “смарт-“ устройств. Смартфонами, умными телевизорами и умными домами сегодня уже никого не удивишь. При этом усложняется и унифицируется встроенное программное обеспечение этих устройств (прошивки), что создаёт предпосылки к повышению вероятности нахождения новых уязвимостей - ошибиться легче, а универсальное ПО за счёт его популярности привлекает большее число исследователей, не все из которых имеют мирные намерения. Собственно, модифицированные прошивки тех же сотовых телефонов были широко распространены среди энтузиастов ещё во времена величия Сименс, Нокиа и прочих Сони Эриксон, а через сервисный разъём автомобилей с помощью соответствующих инструментов можно было не только проводить диагностику, но и выставлять нештатные параметры работы (чип-тюнинг) ВАЗовских девяток со момента появления у них инжекторных двигателей. Инженерные меню, изменённые характеристики двигателя, наконец, джейлбрейк и рутинг сами по себе не обязательно плохи - со своим устройством каждый развлекается так, как считает нужным, а посторонним при отсутствии доверия никто такое делать не позволит. Действительно серьёзные проблемы начались тогда, когда в устройствах стали появляться беспроводные каналы связи, а затем они и вовсе стали подключаться к глобальной сети интернет. Теперь уже не только не нужно подключать провода к автомобилю, чтобы получить над ним контроль, но и вообще можно находиться от него за несколько тысяч километров. Недавние нашумевшие взломы (см. ссылки по теме ниже) наглядное тому подтверждение. В результате всей этой шумихи ответственные производители начнут уделять безопасности большее внимание, а безответственные продолжат подвергать рядовых пользователей риску, пока регуляторы не обяжут их выполнять дополнительные требования (в США, например, уже началась дискуссия на эту тему). Но и тогда не факт, что выполнение этих требований не сведётся к простому формализму. Мне же, как потребителю, во-первых, хотелось бы самому решать, какое устройство и с какой целью может устанавливать беспроводные соединения (механический рычажок с полным отключением всех таких интерфейсов тоже был бы очень кстати), а во-вторых, в таких средствах повышенной опасности как, например, автомобиль желательно было бы иметь два раздельных контура управления - один для мультимедийной и других некритичных систем, а второй, с физической невозможностью подключения через сеть Интернет, для тех систем, от которых может зависеть жизнь водителя и пассажиров (как тут не вспомнить идею “воздушного зазора” при обеспечении безопасности АСУ ТП?). Боюсь только, что при дальнейшей разработке умных автомобилей в погоне за прибылью и удобством для пользователя безопасность опять будет принесена в жертву. Приятные исключения в вопросе выбора правильного баланса между безопасностью и удобством редко, но всё же случаются, может и среди автогигантов найдётся кто-то с похожим подходом? Ну, или будем ждать автомобиль от Apple, рано или поздно сделают же они его =) Ссылки по теме: Hackers Remotely Kill a Jeep on the Highway—With Me in It, WIRED 0-day: теперь и в машинах, Securelist ИБ-эксперт представил устройство, позволяющее дистанционно разблокировать автомобили GM, SecurityLab Хакерам удалось отключить электромобиль Tesla во время движения, РБК Уязвимости в ПО снайперских винтовок позволяет изменить цель поражения, SecurityLab Злоумышленники могут получить контроль над автомобилем с помощью радио, SecurityLab Баг в софте автомобилей Land Rover приводит к самопроизвольному отпиранию дверей, ХабраХабр Автопроизводитель Chrysler выпустил security-обновление для Jeep Grand Cherokee (WK2), ХабраХабр Безопасная разработка приложений на практике, Павел Мельников
Эксперты по компьютерной безопасности нашли шесть значительных уязвимостей в электромобилях Tesla Model S, которые позволяют хакерам получить контроль над машинами и представляют угрозу для безопасности водителей. Исследования проводили директор по технологиям компании Lookout Кевин Махаффи и старший специалист по безопасности фирмы Cloudflare Марк Роджерс, сообщает Financial Times. Им сначала пришлось получить физический доступ к машине, чтобы подключиться по кабелю к Ethernet-сети, а затем они могли уже манипулировать ее системами удаленно. В ходе испытания они получили контроль за приборами в кабине машины, произвольно изменяли показания спидометра, заставляя его показывать неправильную скорость, опускали и поднимали боковые окна, запирали и отпирали двери автомобиля, а также включали и выключали электропитание. Тестирование проводилось на скорости 8 км/ч. По словам Роджерса, после отключения электричества сработала тормозная система и машина остановилась. При попытке повторить эксперимент на большей скорости не удалось удаленно включить ручной тормоз, но все экраны на приборной панели погасли, а машина перешла на нейтральную скорость и водитель сохранил полный контроль над управлением, что дало ему возможность съехать на обочину. В компании Tesla заявили, что выпустят дополнения к программному обеспечению машины, которые можно будет скачать уже в четверг, 6 августа. Как писал РБК, первый автомобиль Tesla появился в России в 2013 году. По данным руководителя российского Tesla-клуба Андрея Врацкого, на середину июня 2014 года в стране насчитывалось 30–40 машин. По его прогнозу, к началу 2015 года их число должно было превысить сотню. По данным РБК, владельцами Tesla Model S являются гендиректор Mail.Ru Group Дмитрий Гришин, жена главы Минкомсвязи Светлана Никифорова, а у главы Сбербанка Германа Грефа есть два автомобиля этой модели. В конце июля была выявлена уязвимость в программном обеспечении Jeep Cherokee, которая позволяла злоумышленникам отключать их во время движения. В результате Fiat Chrysler была вынуждена отозвать 1,4 млн машин для устранения неисправности. Источник
ИБ-исследователь из Synack Колби Мур (Colby Moore) сообщил, что данные определяющих местоположение устройств, которые используют предоставленную компанией Globalstar спутниковую сеть, могут быть перехвачены или подделаны злоумышленниками. Об этом Мур намерен подробно рассказать на предстоящей конференции Black Hat в Лас-Вегасе. Компания Globalstar, штаб-квартира которой расположена в Ковингтоне, Луизиана, США, продала миллионы устройств, которые широко используются в поисково-спасательных операциях, а также для отслеживания ценных грузов. Среди клиентов компании многие нефтяные и газовые предприятия. Мур сообщил, что проблема заключается в том, что в отличие от сервисов Globalstar для спутниковых телефонов, данные этих миллионов устройств не зашифровываются при передаче. Вместо этого система устройства изменяет частоты и передает большой объем несущественной информации, которая может быть отброшена злоумышленником. Мур заявляет, что данная система была изначально построенная неправильно. Эксперту удалось получить доступ к важным данным в процессе передачи. Исследователь сообщил, что проблема возникает из-за архитектурной уязвимости, которую невозможно исправить с помощью обновлений. Помочь может только новое программное обеспечение, позволяющее шифровать трафик, рассказал Мур в телефонном интервью изданию Reuters. Представители Globalstar отказались комментировать данную проблему.
Исследователи безопасности Руна Сэндвик (Runa Sandvik) и Майкл Огер (Michael Auger) заявили о том, что им удалось успешно проэксплуатировать уязвимости в самонаводящихся снайперских винтовках TrackingPoint. Эксперты опубликовали видео, в котором продемонстрировали, как с помощью брешей в программном обеспечении оружия им удалось скомпрометировать его через Wi-Fi. Как показано в видеоролике, оснащенная компьютером самонаводящаяся снайперская винтовка дальнего действия, стоимость которой составляет $13 тыс. за штуку, позволяет выстрелить только в случае, если ее ствол находится на одной линии с целью, гарантируя высокую точность попадания даже малоопытным стрелкам. Сэндвик и Огер провели реверс-инжиниринг прицела, аппаратного обеспечения и трех сопутствующих мобильных приложений. Им удалось найти способ подключиться к компьютеру винтовки и изменить значения таким образом, чтобы их вмешательство не отображалось на ее экране. Далее исследователи загрузили неверные данные о весе пули, поэтому при определении, когда нужно произвести выстрел, прицел сбивается. Наихудший сценарий, считают эксперты, заключается в том, что злоумышленники могут изменить настройки винтовки таким образом, что она начнет действовать нетипичным для себя образом. Источник