Новость на русском, Отчет appthority
Сложно объяснить, почему разработчики Twilio решили сделать так, чтобы в код приложений, использующих их Rest API и SDK, было необходимо жестко «зашить» учетные данные для доступа к БД. Но сделали они именно так. И это несмотря на то, что собственные политики безопасности Twilio такие фортели запрещают.
API для доступа к сервисам Twilio позволяют обмениваться сообщениями и голосовыми звонками — функции, востребованные в корпоративных приложениях. Тот, кто сумеет выдрать из этого кода ключи от учетной записи Twilio, получит доступ ко всем метаданным и голосовым записям, которые хранятся на корпоративном аккаунте. А это миллионы и миллионы минут разговоров и бесчисленные текстовые сообщения о важных контрактах, заказах оборудования и любовных интрижках гендиров. Как говорится, упс.
Эксперты из Appthority дали найденной уязвимости емкое название Eavesdropper. Проанализировав больше тысячи решений, использующих технологии Twilio, они нашли 685 уязвимых приложений (примерно половина из них для iOS, половина для Android) и 85 скомпрометированных учеток. А уж счет установок этих приложений идет на миллионы.
Поскольку делать приложения на основе уязвимых API — все равно что строить забор из стеклянных кирпичей, для эксплуатации этой дырки не нужно специального оборудования или программных инструментов, только немного смекалки.
Анатомия атаки такая: сперва хакер находит приложение, в котором используется код Twilio —прочитав описания в магазине или просто проверяя все подряд приложения с функциями, допустим, голосовой связи. Потом разбивает приложение на строки и ищет ту, в которой будут учетные данные Twilio (ключ и пароль находятся в пределах 100 байт друг от друга и рядом с вызовом api.twilio.com). Дальше уже дело техники: зная ключ и пароль, извлечь компромат с аккаунта можно множеством способов.
На этом, однако, жареные новости не заканчиваются: анализируя дырявые приложения, Appthority обнаружила в 40% из них похожую ошибку, компрометирующую другие сервисы — в том числе Amazon S3. Поскольку имена «корзин» Amazon уникальны, а в сами репозитории частенько сливаются разнородные данные, даже доступ к одним только названиям позволяет узнать много интересного о структуре виртуальной сети компании. А во многих случаях бонусом идет доступ и к самому контенту.
Исправлять уязвимости такого рода сложно и дорого: потребуется не только удалять вшитые учетки из кода приложения, но и изменять сами учетные данные — если сделать что-то одно, то либо приложения перестанут работать, либо у потенциальных хакеров останется доступ к архивам. Поэтому почти наверняка мы об этих дырках еще услышим.
Онлайн-переводчик сливал данные в открытый доступ
Новость на русском, подробнее на английском.
Если строить забор из прозрачных кирпичей, ваши секреты перестанут быть секретами. Если вывесить на доске объявлений конфиденциальный договор с припиской «Переведите, пожалуйста!» — рано или поздно его украдут. Нефтегазовый гигант Statoil наступил именно на эти грабли: его сотрудники пользовались сервисом Translate.com для перевода, и ладно бы писем — важных контрактов и прочих конфиденциальных данных.
Как и многие другие аналогичные сервисы, Translate.com пытался избавиться от неизбежных перлов с помощью машинного обучения. Для этого все загруженные тексты сохранялись и анализировались. После перевода их из облака никто не удалял, и до недавнего времени они спокойно индексировались поисковиком Google.
Этот вопиющий факт совершенно случайно обнаружили норвежские журналисты, когда искали информацию о Statoil в открытом доступе. Представители Translate.com заявили, что раз новая версия сервиса переводы не сохраняет, то и ничего страшного, и, видимо, поторопились все затереть. Но отдельные материалы все еще можно посмотреть в кэше Google.
От участи Statoil никто не застрахован: онлайн-переводчиками пользуются не только небольшие компании, которые не могут позволить себе профессиональные услуги, но и сами профессионалы. Договоры NDA никого не остановят, если нужно срочно перевести что-то с албанского на польский, а специалиста под рукой нет. Да и проконтролировать процесс почти никак нельзя: даже если нанимать сторонних специалистов и выдавать им задания только через онлайн-сервис с отключенной опцией экспорта, все равно нет гарантий, что они как-нибудь не исхитрятся и не запихнут текст в онлайн-переводчик — например, сделав скриншот и распознав его с помощью OCR.
В Volkswagen решили вопрос радикально: сделали собственную систему машинного и автоматического перевода, а всеми остальными пользоваться своим сотрудникам запретили. Но у них годовой доход больше, чем у Чили или Финляндии, им можно.
Хакеры взламывают самолеты
Новость
Любите ли вы боевики так, как люблю их я? Если да, то наверняка вам встречалась сцена, где хакеры взламывают систему управления самолетом. Чаще всего пассажирским и чаще всего удаленно. А дальше, в зависимости от наглости сценаристов, либо сажают гигантский Airbus на шоссе с помощью авиасимулятора, либо делают еще что-нибудь столь же эпическое.
Два года назад эксперта по безопасности Криса Робертса уже сняли с рейса американской авиакомпании за шуточку в стиле «А не пора ли мне пробраться в бортовые системы управления по Wi-Fi и хорошенько в них пошуровать?» и даже внесли в черный список. Однако проблема с авиабезопасностью далеко не шутейная.
В прошлом году Министерство национальной безопасности (DHS) США заказало эксперимент, попросив группу экспертов взломать систему управления Boeing 757, выделенного специально для этой цели. Ребятам понадобилось всего два дня, причем пользовались они только тем оборудованием, которое можно было без проблем пронести через терминалы аэропорта. Более того, взломщики не привлекали «засланных казачков» из экипажа и даже не прикасались к самому «Боингу» — только радиосвязь, только хардкор. Что именно они сделали, конечно, не разглашается, так что голливудским сценаристам придется и дальше выкручиваться в меру своей фантазии.
По словам представителя DHS, уязвимость не стала новостью для авиаконструкторов — в отличие от пилотов, присутствовавших на оглашении результатов эксперимента.
Новости крайне тревожные еще и потому, что до сих пор обслуживающий персонал не сталкивался с угрозой взлома авиационных сетей, которые принципиально отличаются от наземных. Правда, новые модели Boeing от найденной уязвимости защищены, но в старых никто ничего не исправлял. Скорее всего, и не исправит, учитывая, что заменить строчку кода в прошивке одного самолета стоит ни много ни мало миллион долларов. Компании поменьше, которые в основном и эксплуатируют старенькие «Боинги», разорятся, даже если просто подумают в эту сторону.
Но меры принимать, конечно, надо. Кто знает, может, через пару лет на контроле в аэропорту будут отбирать вообще всё с электронной начинкой, включая фотоаппараты и поющих плюшевых мишек.
Древности
Aids-552
Резидентный очень опасный вирус. Стандартно заражает ЕХЕ-файлы при их закрытии. В каждый 16-й закрываемый СОМ-файл записывает часть своего кода (файл не восстанавливается, так как вирус не сохраняет старое содержимое файла). При запуске такого файла не экран крупными буквами выдается слово «AIDS». Изменяет int 3, 21h.
Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.
Комментарии (11)
Opaspap
19.11.2017 16:07а почему критиакал апдейт связанный с безопасностью полетов не ложится своей стоимостью на боинг? Почему это вообще стоит миллион долларов? Под каждый самолет прошивки уникальные?
to_climb
19.11.2017 16:09Сложная система сертификации ПО. Видимо, под каждую модификацию самолёта — своя прошивка.
Opaspap
19.11.2017 16:15так если существует известная уязвимость, разве такое ПО не десертифицируется автоматически? Ну и мне показалось, что там имеется ввиду апдейт конкретно единицы воздушного судна, что выглядит вообще странно.
Germanets
19.11.2017 16:46Нельзя просто так взять и выкатить обновление для ПО самолёта… (с)
Даже если прошивка более-менее универсальная, в любом случае её нужно полностью протестировать, сертифицировать, провести какой-нибудь независимый аудит и получить кучу недешевых бумажек. Ко всему прочему может оказаться, что возможность лёгкого обновления ПО для самолётов просто запрещена, чтобы те самые злобные хакеры не перепрограммировали самолёт, и производится только на заводе.Lennonenko
21.11.2017 15:35AFAIK непосредственно прошивка там производится довольно просто — две дискеты в два дисковода и несложная комбинация процедур, так что речь, скорее всего, именно о разработке и сертификации обновления
что не уменьшает недоумения в сторону «боинга», ведь если достоверно известно о наличии уязвимости, наличие этой информации в руках злоумышленников — вопрос времени
с другой стороны, можно предположить сложную игру с разбрасыванием приманок и вычислением утечки, но это уже домыслы и конспирология
muxa_ru
19.11.2017 19:02У пункта "Онлайн-переводчик сливал данные в открытый доступ" ссылка "подробнее на английском" ведёт на русскоязычный текст.
Psychosynthesis
19.11.2017 19:47А нахрена вообще на самолёте внутренняя радиосвязь, да ещё и не шифрованная?
DrZlodberg