Новость на русском, подробности на английском
Когда мы не смотрим, игрушки оживают и начинают делать гадости — студия Pixar бы такой мультик не сняла, а вот реальность оказалась менее разборчивой. Британская организация по защите потребителей Which? проверила несколько интерактивных игрушек распространенных марок и обнаружила почти у всех одну и ту же проблему. Подкованный злоумышленник может без труда взломать использовать их чтобы подслушивать, что творится в семье, разговаривать с ребенком от имени его разноцветного друга или даже попытаться пролезть в домашнюю сеть.
В этот раз исследованию подвергли Furby Connect, I-Que Intelligent Robot, CloudPets и Toy-fi Teddy и еще ряд моделей. Их производители, похоже, забыли, что Bluetooth действует в радиусе 10 м: если родитель может соединиться с игрушечным роботом через незащищенное приложение, то что помешает злоумышленнику, который стоит на улице за стенкой, скачать то же приложение и передать свой собственный привет?
Этим, кстати, возможности издевательства над игрушкой не ограничиваются. Если в доме есть, например, управляемая голосом система, то оставленный недалеко от микрофона уязвимый робот может под руководством злоумышленника сделать заказ на Amazon. А сделав установку, которая может кататься по улицам, сканируя округу на предмет незащищенных игрушек в активном состоянии, можно поставить эксплуатацию бага на поток. В общем, возможностей масса.
Тем не менее производители игрушек — по крайней мере, те, которые хоть как-то прокомментировали эту историю — посчитали проблему не заслуживающей внимания. Мол, усилия на взлом игрушки не стоят информации, которую можно получить с ее помощью. Ответ настолько беспомощный, что даже препарировать его не хочется.
Потребовалось всего-навсего несколько десятков лет, чтобы под давлением родителей и возмущенной общественности именитые производители прекратили выпускать игрушки со свинцовой краской или мелкими детальками, которые неуемное любопытство так и побуждает засунуть в ноздрю или ухо. Но вот до того, чтобы защищать подключение Bluetooth хотя бы паролем или серийным номером игрушки, они явно еще не дозрели.
Новость на русском, подробнее на английском
Как мы узнали на этой неделе, год назад у Uber украли огромную базу данных с именами, номерами телефонов и адресами электронной почты клиентов. Оказалось, что в целях оптимизации эти данные хранились не где-нибудь, а на GitHub и Амazon S3. В итоге злоумышленники украли данные около 57 млн пользователей, среди прочего — 600 тыс. водительских удостоверений. По заверениям Uber, более важные данные пользователей, такие как номера их кредитных карт и даты рождения, остались в неприкосновенности, потому что хранились в собственной инфраструктуре компании.
В итоге Uber заплатила ворам 100 тыс. долларов, чтобы они уничтожили полученные данные. Но гарантий, что информацию действительно удалили, а не продали их кому-нибудь еще, дать никто не может.
Конечно, сумма немалая, но, с другой стороны, если бы вступил в силу европейский закон о защите данных (GDPR), Uber попала бы на штраф в пару миллионов. Зарубежные аналитики склонны винить в утечке несовершенство законов, которые недостаточно наказывают компании за скупость и разгильдяйство при организации хранения данных. Это, конечно, верно, но одними карательными мерами ситуацию не исправишь, нужен системный подход к защите облачных данных.
Новость на русском, подробнее на английском
Специалист Pen Test Partners придумал по-настоящему креативный способ потопить корабль с помощью хакерских навыков. Взломать навигационную систему корабля и разбить его о скалы сложно: там надежная защита. А вот обмен сообщениями между портом и кораблями, особенно в части распределения грузов, далеко не так безопасен. Как правило, злоумышленников интересуют прежде всего распоряжения о перемещении контейнеров в самом порту: изменив их, можно направить груз по другому маршруту — проще говоря, украсть. Но если перехватить запросы BAPLIE EDIFACT, с помощью которых создаются планы погрузки и размещения грузов в трюме корабля, то вам откроется увлекательная игра в 3D-тетрис с настоящими грузами…
Чтобы просто похулиганить, можно перемешать обозначения всех грузов, чтобы погрузка и разгрузка потребовали многих дней вместо нескольких часов. Хотя и это выльется в миллионные убытки компании-перевозчику.
А если вас одолела жажда крови, можно изменить центр тяжести и вес самых крупных грузов, чтобы их поместили не в трюм, как положено, а на палубу. В некоторых портах проводят контрольное взвешивание перед погрузкой, но далеко не во всех. Поскольку грузы поднимают подъемные краны, а не люди, у обмана есть все шансы не быть раскрытым. В результате корабль вполне может перевернуться.
Затонувший при выходе из порта транспортник вряд ли приведет к человеческим жертвам, но уж точно влетит в копеечку и самому порту, и всем грузовозам, которые не смогут отправиться по назначению. Так что в поиске решения заинтересованы далеко не только ИБ-специалисты.
Joshi
Очень опасный «стелс»-вирус, длина 4086 байт (9 секторов). Заражает Boot-сектор флоппи-дисков и MBR винчестера при обращении к ним (int 13h, ah=2, 3, 4, 0Ah, 0Bh).
Проявляется 5 января: выводит сообщение: «Туре ‘Happy Birthday, Joshi’!» и ждет ввода с клавиатуры фразы «Happy Birthday, Joshi!». Изменяет векторы прерываний 8, 9, 13h, 21h.
Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.
Когда мы не смотрим, игрушки оживают и начинают делать гадости — студия Pixar бы такой мультик не сняла, а вот реальность оказалась менее разборчивой. Британская организация по защите потребителей Which? проверила несколько интерактивных игрушек распространенных марок и обнаружила почти у всех одну и ту же проблему. Подкованный злоумышленник может без труда взломать использовать их чтобы подслушивать, что творится в семье, разговаривать с ребенком от имени его разноцветного друга или даже попытаться пролезть в домашнюю сеть.В этот раз исследованию подвергли Furby Connect, I-Que Intelligent Robot, CloudPets и Toy-fi Teddy и еще ряд моделей. Их производители, похоже, забыли, что Bluetooth действует в радиусе 10 м: если родитель может соединиться с игрушечным роботом через незащищенное приложение, то что помешает злоумышленнику, который стоит на улице за стенкой, скачать то же приложение и передать свой собственный привет?
Этим, кстати, возможности издевательства над игрушкой не ограничиваются. Если в доме есть, например, управляемая голосом система, то оставленный недалеко от микрофона уязвимый робот может под руководством злоумышленника сделать заказ на Amazon. А сделав установку, которая может кататься по улицам, сканируя округу на предмет незащищенных игрушек в активном состоянии, можно поставить эксплуатацию бага на поток. В общем, возможностей масса.
Тем не менее производители игрушек — по крайней мере, те, которые хоть как-то прокомментировали эту историю — посчитали проблему не заслуживающей внимания. Мол, усилия на взлом игрушки не стоят информации, которую можно получить с ее помощью. Ответ настолько беспомощный, что даже препарировать его не хочется.
Потребовалось всего-навсего несколько десятков лет, чтобы под давлением родителей и возмущенной общественности именитые производители прекратили выпускать игрушки со свинцовой краской или мелкими детальками, которые неуемное любопытство так и побуждает засунуть в ноздрю или ухо. Но вот до того, чтобы защищать подключение Bluetooth хотя бы паролем или серийным номером игрушки, они явно еще не дозрели.
У Uber украли данные. И уже давно.
Новость на русском, подробнее на английском
Как мы узнали на этой неделе, год назад у Uber украли огромную базу данных с именами, номерами телефонов и адресами электронной почты клиентов. Оказалось, что в целях оптимизации эти данные хранились не где-нибудь, а на GitHub и Амazon S3. В итоге злоумышленники украли данные около 57 млн пользователей, среди прочего — 600 тыс. водительских удостоверений. По заверениям Uber, более важные данные пользователей, такие как номера их кредитных карт и даты рождения, остались в неприкосновенности, потому что хранились в собственной инфраструктуре компании.
В итоге Uber заплатила ворам 100 тыс. долларов, чтобы они уничтожили полученные данные. Но гарантий, что информацию действительно удалили, а не продали их кому-нибудь еще, дать никто не может.
Конечно, сумма немалая, но, с другой стороны, если бы вступил в силу европейский закон о защите данных (GDPR), Uber попала бы на штраф в пару миллионов. Зарубежные аналитики склонны винить в утечке несовершенство законов, которые недостаточно наказывают компании за скупость и разгильдяйство при организации хранения данных. Это, конечно, верно, но одними карательными мерами ситуацию не исправишь, нужен системный подход к защите облачных данных.
Как потопить корабль
Новость на русском, подробнее на английском
Специалист Pen Test Partners придумал по-настоящему креативный способ потопить корабль с помощью хакерских навыков. Взломать навигационную систему корабля и разбить его о скалы сложно: там надежная защита. А вот обмен сообщениями между портом и кораблями, особенно в части распределения грузов, далеко не так безопасен. Как правило, злоумышленников интересуют прежде всего распоряжения о перемещении контейнеров в самом порту: изменив их, можно направить груз по другому маршруту — проще говоря, украсть. Но если перехватить запросы BAPLIE EDIFACT, с помощью которых создаются планы погрузки и размещения грузов в трюме корабля, то вам откроется увлекательная игра в 3D-тетрис с настоящими грузами…Чтобы просто похулиганить, можно перемешать обозначения всех грузов, чтобы погрузка и разгрузка потребовали многих дней вместо нескольких часов. Хотя и это выльется в миллионные убытки компании-перевозчику.
А если вас одолела жажда крови, можно изменить центр тяжести и вес самых крупных грузов, чтобы их поместили не в трюм, как положено, а на палубу. В некоторых портах проводят контрольное взвешивание перед погрузкой, но далеко не во всех. Поскольку грузы поднимают подъемные краны, а не люди, у обмана есть все шансы не быть раскрытым. В результате корабль вполне может перевернуться.
Затонувший при выходе из порта транспортник вряд ли приведет к человеческим жертвам, но уж точно влетит в копеечку и самому порту, и всем грузовозам, которые не смогут отправиться по назначению. Так что в поиске решения заинтересованы далеко не только ИБ-специалисты.
Древности
Joshi
Очень опасный «стелс»-вирус, длина 4086 байт (9 секторов). Заражает Boot-сектор флоппи-дисков и MBR винчестера при обращении к ним (int 13h, ah=2, 3, 4, 0Ah, 0Bh).
Проявляется 5 января: выводит сообщение: «Туре ‘Happy Birthday, Joshi’!» и ждет ввода с клавиатуры фразы «Happy Birthday, Joshi!». Изменяет векторы прерываний 8, 9, 13h, 21h.
Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.