Хакерское устройство Flipper Zero, которое позиционируется разработчиками как программируемый инструмент для тестирования различных интерфейсов и цифровых устройств, теперь доступно в версии с корпусом из прозрачного пластика. Желающим его приобрести следует поторопиться, поскольку будет выпущено всего 7500 единиц этой версии продукта.

Источник изображений: Flipper Zero

«Первоначальный дизайн Flipper Zero был вдохновлён устройствами в форме плавника, эстетикой киберпанка, тамагочи и ретро-гаджетами 2000-х годов, а символ устройства — кибердельфином из романа Уильяма Гибсона "Джонни Мнемоник". Новая прозрачная версия демонстрирует внутренние компоненты и сложный дизайн, а также символизирует приверженность команды открытому исходному коду», — говорится в сообщении разработчиков.

Единственным отличием новинки от стандартной версии Flipper Zero является наличие прозрачного корпуса. В остальном это всё тот же хакерский мультитул, в конструкции которого имеется встроенный радиомодуль на 433/868 МГц для взаимодействия с устройствами интернета вещей, ИК-порт для бытовой техники, анализатор радиосигналов для работы с неизвестными протоколами, интерфейс USB Type-C для эмуляции периферийных устройств, модули Bluetooth и RFID, а также иные интерфейсы. Приобрести новую версию Flipper Zero можно за $169,99, стандартная версия устройства стоит столько же.

Подразделение Sony Interactive Entertainment (SIE) сообщило о крупной утечке данных, произошедшей из-за взлома злоумышленниками компьютерных сетей компании с использованием уязвимости нулевого дня CVE-2023-34362 в платформе MOVEit Transfer. По этому поводу компания уведомила примерно 6800 человек, включая нынешних и бывших сотрудников и членов их семей.

Источник изображения: Pixabay

В уведомлении сообщается, что взлом произошёл 28 мая, за три дня до того, как Progress Software (поставщик MOVEit) известила SIE об уязвимости, но его обнаружили в начале июня. «2 июня 2023 года мы обнаружили несанкционированные загрузки, немедленно отключили платформу и устранили уязвимость», — сообщила Sony Interactive Entertainment, отметив, что взлом был ограничен конкретной программной платформой и не затронул другие системы, и что о случившемся извещена полиция, а также начато расследование инцидента с привлечением экспертов по кибербезопасности.

В уведомлении пострадавшим предлагается воспользоваться сервисами кредитного мониторинга и восстановления личности через Equifax, доступ к которым они могут получить до 29 февраля 2024 года, используя свой уникальный код.

В конце прошлого месяца на хакерских форумах появились сообщения об ещё одном взломе систем Sony, в результате которого было украдено 3,14 Гбайт. Утекшие данные, хранившиеся как минимум у двух отдельных хакеров, содержали подробную информацию о платформе SonarQube, сертификатах, Creators Cloud, политиках реагирования на инциденты, эмуляторе устройств для генерации лицензий и т.д.

Компания подтвердила ресурсу BleepingComputer.com факт взлома, отметив, что при содействии внешних экспертов была выявлена активность на одном сервере, расположенном в Японии, который используется для внутреннего тестирования в сфере развлечений, технологий и услуг (ET&S).

Sony отключила на время расследования этот сервер. Как сообщается, нет никаких признаков того, что данные клиентов и деловых партнёров хранились на данном сервере, и что были затронуты какие-либо другие системы компании. Также не было отмечено никаких негативных последствий для Sony.

Представитель Sony по запросу портала IGN прокомментировал сделанные накануне заявления хакерской группировки Ransomed.vc об успешном взломе защитных систем японской компании.

Источник изображения: Steam (Mojo)

Напомним, Ransomed.vc утверждает, что взломала «все системы Sony» и не будет требовать за данные выкуп, потому что платформодержатель «не хочет платить». Вместо этого группировка выставила украденное на продажу.

В качестве доказательства своих слов Ransomed.vc показала несколько скриншотов (в том числе дерева файлов утечки, насчитывающего менее 6 тыс. наименований), которые журналисты Cyber Security Connect сочли «не особо убедительными».

Источник изображения: Reuters

В заявлении IGN представитель Sony заверил, что компания уже запустила внутреннее расследование ситуации, но какими бы то ни было подробностями на данный момент поделиться не может.

Предполагается, что, если покупатель не найдётся, Ransomed.vc выложит данные в открытый доступ 28 сентября. Большинство участников группировки якобы базируются в России и Украине.

Австралийский портал Cyber Security Connect сообщает, что хакерская группировка Ransomed.vc заявила об успешном взломе защитных систем Sony Group и теперь угрожает продать украденные данные.

Источник изображения: Steam (leginovskiy)

Как отмечают в Cyber Security Connect, Ransomed.vc начала свою деятельность меньше месяца назад, но на её счету уже числится «впечатляющее количество жертв», среди которых якобы теперь находится и Sony.

«Мы успешно взломали все системы Sony. Мы не будем требовать за них выкуп, потому что Sony не хочет платить. Данные на продажу», — объявила Ransomed.vc на своих площадках в даркнете и интернете.

Источник изображения: Cyber Security Connect

В качестве доказательства своих слов группировка опубликовала несколько скриншотов: страница авторизации, внутренняя презентация PowerPoint, несколько файлов Java и дерево файлов утечки, насчитывающее менее 6 тыс. наименований.

Cyber Security Connect обратил внимание, что многие файлы в примерах состоят преимущественно из японских символов. Тем не менее журналисты называют доказательства Ransomed.vc «на первый взгляд не особо убедительными».

В 2011 году Sony уже становилась жертвой масштабного взлома PlayStation Network (источник изображения: PlayStation)

Цену украденных данных Ransomed.vc не назвала, но приложила свои контакты (в том числе в Telegram). «Датой публикации» значится 28 сентября — вероятно, в этот день группировка выложит утечку в открытый доступ, если покупатель не найдётся.

Ransomed.vc позиционируется как оператор программы-вымогателя и поставщик таких программ. Сообщается, что большинство участников группировки базируются в России и Украине. Sony ситуацию пока не комментировала.

Во вторник группа киберпреступников, называющая себя ALPHV/BlackCat, нарушила работу сети казино MGM Resorts. Хакеры утверждают, что добыли чувствительную информацию и требуют выкуп, но компания пока платить отказывается. А сеть казино Caesars Entertainment якобы заплатила «десятки миллионов долларов» хакерам, угрожавшим обнародовать украденную информацию, в том числе данные клиентов. Взлом совершила группировка Scattered Spider, хотя ALPHV также настаивает на своей причастности.

Источник изображений: Pixabay

Во вторник MGM Resorts начала испытывать перебои в работе игровых автоматов. По состоянию на утро среды MGM Resorts по-прежнему демонстрировала признаки взлома, что, в частности, отражалось в перебоях в работе сайта компании. Сама MGM Resorts утверждает, что её «курорты, включая рестораны, развлечения и игры, в настоящее время работают».

ALPHV использовала методы социальной инженерии для кибератаки на международную сеть отелей и казино. Хакеры утверждают, что для взлома MGM Resorts им потребовался всего один 10-минутный телефонный звонок. Преступникам оказалось достаточно отыскать данные сотрудников казино на LinkedIn, а затем позвонить в службу поддержки.

Группа ALPHV имеет в сообществе кибербезопасности репутацию «выдающегося специалиста в области социальной инженерии для первоначального доступа». После взлома группа обычно использует программы-вымогатели, чтобы вынудить жертву заплатить. Хакеры в первую очередь атакуют крупные корпорации, в частности в июле ALPHV совместно с другими хакерами смогли организовать утечку данных с сайта гиганта индустрии красоты Estée Lauder.

Caesars Entertainment заплатила «десятки миллионов долларов» хакерам, которые угрожали обнародовать данные компании. Атаку совершила группа под названием Scattered Spider (также известная как UNC 3944), использовавшая социальную инженерию для обхода безопасности корпоративной сети. Атака на Caesars началась ещё 27 августа с получения доступа к внешнему поставщику компании, после чего преступникам удалось проникнуть в сеть Caesars Entertainment.

Группа Scattered Spider активизировалась в мае 2022 года и занимается атаками на телекоммуникационные и бизнес-аутсорсинговые организации. Члены группы выдают себя за ИТ-персонал и используют социальную инженерию и другие инструменты, чтобы убедить должностных лиц компании предоставить удалённый доступ. Также они успешно эксплуатируют уязвимости и используют специализированные инструменты для взлома, чтобы обойти защитное программное обеспечение.

Неназванные хакеры утверждают, что получили доступ к системам разработчика шпионского ПО (stalkerware) WebDetetive и удалили информацию об отслеживаемых устройствах, чтобы защитить жертв компании от слежки. Шпионский софт предоставляет беспрепятственный доступ к устройству человека, как правительству для слежки за гражданами, так и злоумышленнику для незаконного сбора данных. Теперь WebDetetive не смогут собирать данных с устройств своих жертв.

Источник изображения: Pixabay

Википедия выделяет следующие основные отличительные признаки stalkerware:

• наличие функций мониторинга (кейлогер, снимки экрана, мониторинг интернет активности, отслеживание местоположения, запись видео и звука);
• работа в скрытом режиме (без оповещения пользователя, приложения нет в списке установленных программ, маскировка под системные процессы);
• требование отключения антивирусной или встроенной в ОС защиты для установки и/или работы приложения;
• установка в обход официальных магазинов приложений.

По данным хакеров, WebDetetive вела слежку за более чем 76 000 устройств и их владельцами, собрав более 1,5 Гбайт данных. Виртуальные Робин Гуды удалили всю информацию, к которой им удалось получить доступ. «Потому что #f**kstalkerware», — написали хакеры в послании, полученном TechCrunch.

Хотя TechCrunch независимо не подтвердил удаление данных жертв с сервера WebDetetive, кэш данных, которым поделились хакеры, позволил оценить, чего им удалось достичь. Судя по информации от некоммерческой организации DDoSecrets, регистрирующей данные, попавшие в открытый доступ, хакерам действительно удалось получить IP-адреса и характеристики устройств жертв WebDetetive.

Докторант Рурского университета в Бохуме (ФРГ) Йоханнес Вилльбольд (Johannes Willbold) выступил на конференции по кибербезопасности Black Hat в Лас-Вегасе и поделился результатами изучения орбитального оборудования трёх типов. Как выяснилось, многие спутники лишены адекватных средств защиты от удалённого взлома — у них отсутствуют даже элементарные меры безопасности.

Источник изображений: PIRO / pixabay.com

Спутниковым операторам пока по большей части просто везло. Есть мнение, что взлом орбитальных аппаратов — непомерно дорогая задача из-за высокой стоимости наземных терминалов. Киберпреступники не работали с этими терминалами за счёт фактора неизвестности, считая, что получить доступ к их программной платформе слишком сложно. Ни то, ни другое действительности не соответствует, показало исследование немецкого специалиста.

AWS и Microsoft Azure уже предлагают доступ к наземным терминалам для связи с низкоорбитальными спутниками как услугу, то есть вопрос упирается только в деньги. Что же касается подробной информации о прошивке — коммерческая космическая отрасль сегодня процветает, и многие компоненты уже относительно легко приобрести и изучить: по подсчётам Вилльбольда, хакер может собрать собственный наземный терминал для связи со спутниками примерно за $10 тыс.

Учёный выбрал предельно прямой подход. Исследователь обращался к спутниковым операторам с просьбой предоставить отдельные данные для своей работы. Некоторые из них ответили согласием, и лишь в одном случае пришлось подписать договор о неразглашении. Вилльбольд изучил три типа аппаратов: ESTCube-1, миниатюрный кубсат, запущенный Эстонией в 2013 году и оборудованный процессором Arm Cortex-M3; более крупный кубсат OPS-SAT, оператором которого выступает Европейское космическое агентство; и 120-кг спутник Flying Laptop, которым управляет Институт космических систем при Штутгартском университете.

Результаты оказались удручающими. Оба кубсата «сдались без боя» — у них не оказалось протоколов аутентификации, а свои данные они передают без шифрования. У Вилльбольда была возможность перехватить основные функции управления спутниками и заблокировать их операторов — в ходе своего выступления он продемонстрировал это на симуляции. Flying Laptop всё-таки продемонстрировал базовую защиту и попытался оградить свои основные функции от стороннего вмешательства. Но при наличии технических навыков, специализированного кода и применении стандартных методов удалось обнаружить уязвимости и в нём.

Заинтригованный результатами, Вилльбольд продолжил исследование. Он связался с разработчиками спутниковых систем и получил ответы от девяти поставщиков, которые запустили в общей сложности 132 аппарата. На сбор информации ушло четыре месяца, но выяснилось, что приоритет функций кибербезопасности при разработке спутников чрезвычайно низок — только двое поставщиков проводили тестирование на взлом. Проблема, уверен исследователь, в том, что космическая наука пока остаётся областью, относительно отстранённой от всеобщего киберпространства, и у разработчиков нет значительных навыков в области цифровой безопасности.

Один из неожиданных выводов оказался в том, что чем больше спутник, чем дороже были его разработка и запуск, тем более он уязвим. На крупных аппаратах устанавливается больше готовых коммерческих компонентов, и это действительно означает его уязвимость из-за большей доступности кодовой базы. А для мелких кубсатов код чаще пишется индивидуально.

Последствия взлома спутников могут быть различными. В лучшем случае злоумышленник начнёт использовать аппарат для передачи вредоносной информации или воспользуется доступом к нему для захвата всей инфраструктуры и других спутников в группировке оператора. В худшем — удалённо взломанный спутник можно направить на другой аппарат, породив кучу обломков и создав угрозу для вывода из строя других систем.

Наконец, исправить ситуацию с уже работающими на орбите спутниками едва ли получится. «С технической точки зрения такое было бы возможным. Но в реальности эти системы строятся с очень малым запасом. Они распланировали каждый милливатт мощности, задействованный при работе спутника, так что в существующих системах нет бюджета мощности для запуска шифрования или аутентификации», — заключил автор исследования.

Книжный онлайн-магазин «Литрес» подтвердил утечку данных пользователей, включая адреса электронной почты и зашифрованные пароли. Платёжные данные остались в безопасности. Хакерская группировка NLB заявила о доступе к базе из 97 млн строк. Сервис ужесточил меры безопасности и обратился к Роскомнадзору.

Источник изображения: geralt / Pixabay

5 августа 2023 года стало известно о серьёзной утечке данных пользователей книжного онлайн-магазина «Литрес». Согласно заявлению компании, опубликованному в Telegram-канале, злоумышленники получили доступ к адресам электронной почты. Платёжные реквизиты не пострадали, так как сервис их не хранит.

Хакерская группировка NLB утверждает, что получила базу данных с 97 млн строк. Опубликована часть этой базы — около 3 %, содержащая 3 млн записей, включая идентификаторы пользователей, фамилии и имена, зашифрованные пароли и адреса электронной почты (588 877 уникальных).

«Литрес» принёс извинения за произошедшую утечку и заявил, что начал ужесточать контроль за хранением пользовательских данных, усилит уровень защиты и будет следить за доступом к информации. Компания также проинформировала Роскомнадзор о случившемся.

Пользователям сервиса рекомендовано сменить пароли не только на сайте «Литрес», но и на всех других площадках, где использовался похожий пароль. В случае несанкционированных действий с аккаунтом, сервис пообещал по запросу их отменить. Это не первый случай утечки данных в России в последнее время. В начале июня торговая сеть «Ашан» также подтвердила утечку данных клиентов, включая имена, фамилии, номера телефонов и адреса электронной почты.

Утечка данных «Литрес» является частью тревожного тренда, свидетельствующего о росте киберпреступности. Вопрос безопасности персональных данных становится всё более актуальным, особенно в свете недавно предложенного законопроекта о введении штрафов для бизнеса до 500 млн рублей за подобные инциденты. Ситуация с «Литрес» подчёркивает необходимость более строгого регулирования и контроля за хранением и обработкой персональных данных, а также ответственного отношения к вопросам конфиденциальности и безопасности клиентов.

Попытки модификации бортового программного обеспечения электромобилей Tesla предпринимались энтузиастами и ранее, но если они базировались сугубо на программных методах, то результаты были недолговечными из-за способности компании откатить изменения после обновления системы. Теперь же найден способ контролировать доступ почти ко всем настройкам бортовой системы Tesla, не опасаясь блокировки со стороны автопроизводителя.

Источник изображения: Tesla

Своими находками в этой сфере, как сообщает DARKReading, на конференции Black Hat USA на следующей неделе собирается поделиться группа исследователей, объединяющая представителей Берлинского технического университета и независимого эксперта Олега Дрокина. Авторы исследования обнаружили способ аппаратной модификации центрального компьютера электромобилей Tesla, построенного на процессорах AMD, который даёт долгосрочный доступ не только к управлению большинством программных функций бортовой системы, но и ключам шифрования. Последний аспект означает, что злоумышленник сможет перенести профиль пользователя с одного электромобиля на другой.

В бытовом применении это означает, что у автовладельцев появится возможность приобретать «с рук» бывшие в употреблении бортовые компьютеры Tesla с целью их дальнейшего применения на своей машине. В этом случае пользователь при помощи независимых специалистов получит возможность перенести все настройки со своего электромобиля на вновь устанавливаемый компьютер с «донорского» транспортного средства. Обращение к штатным специалистам Tesla с таким вопросом обычно требует расходов в несколько тысяч долларов, а подержанный бортовой компьютер на аукционе можно купить за $200 или $400. Электроника способна страдать при авариях и наводнениях, поэтому подобные замены не так уж редки.

Как поясняет источник, метод взлома бортового ПК электромобилей Tesla построен на аппаратной модификации печатной платы, на которой установлен процессор AMD со встроенным сопроцессором ASP, отвечающим за информационную безопасность. Хакеру для получения контроля над системой нужно подпаять к исходной печатной плате специальное устройство для разработчиков и применить программатор SPI, чтобы получить доступ к шифруемым сопроцессором данным и непосредственно ключам шифрования. После модификации злоумышленник получает возможность запускать любое ПО, использовать данные клиента Tesla по своему усмотрению, а также активировать платные опции без каких-либо затрат, включая по своему желанию подогрев сидений или активируя автопилот, например.

Метод взлома позволяет снимать ограничения, диктуемые Tesla по географическому признаку. Например, можно активировать фирменную навигацию в тех странах, где она официально работать не должна, то же самое можно проделать и с бета-версией FSD — системой активной помощи водителю, которая выполняет за него почти все функции. Важно, что заблокировать эти изменения программным образом Tesla больше не сможет после проведённых манипуляций, поскольку права доступа при этом не изменятся даже после многократных обновлений системы. Фактически, чтобы восстановить контроль автопроизводителя над бортовой системой, нужно будет выпаять центральный процессор и заменить его на новый. Теоретически, как утверждают авторы исследования, можно создать готовый модуль для модификации бортовой системы Tesla, но навыки работы с паяльником для его подключения всё равно потребуются. При всём этом, как отмечают авторы доклада, с точки зрения информационной безопасности электромобили Tesla всё равно на голову выше большинства других транспортных средств, предлагаемых на рынке.

Неизвестные хакеры воспользовались уязвимостью нулевого дня в ПО Ivanti, предназначенном для централизованного управления корпоративными мобильными устройствами, и успешно осуществили кибератаку на ресурсы 12 норвежских правительственных учреждений. Разработчик исправил ошибку, но под угрозой могут оставаться ресурсы нескольких тысяч других организаций.

Источник изображения: Gerd Altmann / pixabay.com

Норвежская Организация безопасности и обслуживания (DSS) заявила, что в результате атаки были взломаны IT-платформы, используемые 12 министерствами — их названия не уточняются, но в ведомстве добавили, что инцидент не затронул ресурсов аппарата премьер-министра, а также министерств обороны, юстиции и иностранных дел. В DSS также сообщили, что кибератаку удалось произвести из-за «неизвестной ранее уязвимости в ПО одного из поставщиков». Управление национальной безопасности Норвегии (NSM) впоследствии добавило, что речь идёт об уязвимости в Ivanti Endpoint Manager Mobile (EPMM, ранее известна как MobileIron Core).

Ivanti EPMM открывает авторизованным пользователям и устройствам доступ в корпоративные и правительственные сети. Уязвимость CVE-2023-35078 позволяет обходить процедуру аутентификации и затрагивает все поддерживаемые и неподдерживаемые версии программы, развёрнутые до её обнаружения. При эксплуатации уязвимость позволяет любому желающему осуществлять удалённый доступ к личной информации пользователей мобильных устройств (имена, номера телефонов и другие данные), а также вносить изменения на взломанном сервере. В американском Агентстве по кибербезопасности и защите инфраструктуры (CISA) уточнили также, что уязвимость позволяет злоумышленникам создавать во взломанных системах учётные записи с административными привилегиями и вносить изменения в платформу.

Директор Ivanti по безопасности Дэниел Спайсер (Daniel Spicer) заявил, что компания оперативно выпустила обновления ПО, закрывающие уязвимость, и вышла на связь с клиентами, чтобы помочь им установить обновление. Он также заверил, что компания «подтвердила своё обязательство поставлять и поддерживать безопасные продукты, практикуя протоколы ответственного раскрытия информации». Вместе с тем, Ivanti скрыла подробную информацию об уязвимости, рейтинг которой составил 10 из 10, за «пейволлом» — для доступа к базе знаний требуется клиентская учётная запись, уточнил ресурс TechCrunch.

Истинные масштабы инцидента пока неизвестны: по данным поисковой службы Shodan, через интернет сейчас доступны более 2900 порталов Ivanti MobileIron, большинство из которых принадлежит американским клиентам.

Группа вымогателей LockBit утверждает, что взломала крупнейшего контрактного производителя микросхем Taiwan Semiconductor Manufacturing (TSMC). Киберпреступники требуют выкуп в размере $70 млн до 6 августа и угрожают утечкой конфиденциальных данных. TSMC заявила, что её сеть не пострадала, но один из её поставщиков ИТ-оборудования действительно был взломан. TSMC немедленно прекратила обмен данными с пострадавшим поставщиком. Компания подчеркнула, что это обычная процедура в подобной ситуации. В настоящее время правоохранительные органы ведут расследование инцидента.

Источник изображения: Pixabay

«Один из наших поставщиков ИТ-оборудования столкнулся с утечкой информации о начальной наладке и настройке сервера, — говорится в заявлении TSMC. — Каждый аппаратный компонент проходит серию всесторонних проверок и корректировок, включая настройки безопасности, перед установкой в систему TSMC. По результатам проверки этот инцидент не повлиял на бизнес-операции компании и не поставил под угрозу какую-либо информацию о клиентах TSMC».

Печально известная группа вымогателей обнародовала свои условия 29 июня и дала TSMC семь дней на ответ, угрожая опубликовать большое количество конфиденциальной информации, позже крайний срок был продлён до 6 августа. Группа разместила скриншот, содержащий письмо с домена tsmc.com.

Источник изображения: @vxunderground/Twitter

TSMC сообщила, что жертвой атаки стал тайваньский системный интегратор Kinmax Technology, специализирующийся на сетях, хранилищах, управлении базами данных и, по иронии судьбы, безопасности. Kinmax Technology работает с различными транснациональными компаниями, включая Cisco, HPE, Microsoft, Citrix, VMware и Nvidia.

Kinmax утверждает, что, хотя взлом действительно имел место, бо́льшая часть раскрытых данных связана с базовыми инструкциями, содержащими настройки по умолчанию, которые компания предоставляет всем своим клиентам. Kinmax выразила глубочайшие сожаления пострадавшим партнёрам, поскольку «утёкшие данные содержали имена клиентов, что создало потенциальные неудобства». Компания утверждает, что уже внедрила более строгие протоколы безопасности, чтобы предотвратить подобные ситуации в будущем.

В современном мире, где всё больше устройств подключаются к интернету, даже такие повседневные предметы, как кормушки для домашних животных, становятся умными. Такие кормушки выдают заранее установленные порции корма согласно заданному графику и позволяют пользователю наблюдать за своим питомцем или общаться с ним на расстоянии. Для последней цели они часто оснащены микрофоном, динамиком и камерой, и в этом состоит опасность для пользователя.

Обычно кормушки управляются с помощью мобильного приложения. Общение между устройством и приложением осуществляется через облачный сервер. При первом использовании кормушки пользователь должен настроить беспроводную сеть, которую кормушка будет использовать через это приложение.

Однако с ростом сложности этих устройств возрастает и их уязвимость перед кибератаками. Исследователи из «Лаборатории Касперского» провели анализ умных кормушек для домашних питомцев от бренда Dogness и выявили в них несколько уязвимостей. Эти уязвимости могут быть использованы злоумышленниками, чтобы втайне следить за пользователями и дистанционно манипулировать кормушками. «Лаборатория Касперского» связалась с производителем и сообщила о найденных проблемах.

Одной из ключевых уязвимостей, которую анализировали исследователи, является наличие встроенного Telnet-сервера, предоставляющего возможность удалённого доступа с полными правами администратора через стандартный порт. Пароль для этого доступа зашит в прошивке и не может быть изменён. Если хакер сможет извлечь прошивку, он сможет восстановить пароль и получить контроль над устройством. Это верно для всех устройств той или иной модели, так как они используют одинаковые пароли. При наличии удалённого доступа к домашней сети жертвы, злоумышленник сможет выполнять произвольный код, менять настройки устройства и красть чувствительные данные, включая видеозаписи. И даже напрямую подглядывать из пользователем, а также навредить питомцу, поменяв расписание питания, или взломать другие устройства в домашней сети.

Умные кормушки для животных являются типичным примером устройств, которые часто игнорируются в контексте кибербезопасности. Однако, злоумышленники активно исследуют такие устройства в поисках уязвимостей для атак на внутреннюю сеть, а также несанкционированной записи аудио и видео владельцев устройств. Владимир Дащенко, эксперт по кибербезопасности Kaspersky ICS CERT, комментирует: «Люди используют всё больше умных устройств в быту и порой не задумываются о связанных с ними киберрисках. Чего не скажешь о злоумышленниках, активно изучающих возможности, которые открывает перед ними доступ к интернету вещей. В данном случае производитель допустил на стадии разработки фундаментальную ошибку, которая делает устройство привлекательной целью для атакующих. Владельцам любых умных гаджетов важно быть бдительными и не забывать соблюдать базовые правила цифровой гигиены».

Уязвимости в умных кормушках для домашних животных являются примером того, как важно обеспечивать кибербезопасность умных устройств. Владельцам следует регулярно обновлять прошивку, изучать информацию об устройстве перед покупкой, и обеспечивать безопасность мобильных устройств, используемых для управления умными гаджетами.

Эксперты по вопросам кибербезопасности из новозеландской компании CyberCX подробно описали и продемонстрировали неожиданно простой способ обхода пароля BIOS на старых ноутбуках Lenovo. Замкнув два контакта на схеме EEPROM обычной отвёрткой можно войти в BIOS и отключить в настройках вход по паролю.

Источник изображений: blog.cybercx.co.nz

Отмечается, что использованные в демонстрации ноутбуки Lenovo уже сняты с производства — это были модели ThinkPad L440 (вышла в IV квартале 2013 года) и ThinkPad X230 (III квартал 2012 года). Но уязвимости могут быть подвержены ноутбуки других моделей и брендов, если пароль BIOS хранится на отдельной микросхеме EEPROM.

Эксперты CyberCX задумались о следующей проблеме: некоторые хорошие подержанные ноутбуки приходится продавать на запчасти из-за заблокированного паролем BIOS, если эти пароли были каким-то образом утрачены. Проанализировав документацию и некоторые исследовательские статьи, они поняли, что, в частности, для их ноутбуков Lenovo проблему решает следующая последовательность действий:

• найти нужный чип EEPROM;
• найти на нём контакты SCL и SDA;
• своевременно замкнуть контакты SCL и SDA.

Найти нужный чип EEPROM иногда помогает маркировка — в случае с Lenovo ThinkPad L440 это L08-1 X, хотя и не всегда. Контакты располагаются практически вплотную друг к другу, поэтому замкнуть их действительно можно обычной отвёрткой. Далее при входе в BIOS можно менять все опции, а наиболее подходящее время для манипуляции имеет не очень жёсткие рамки, и остаётся некоторая свобода действий. Но если сделать это сразу после включения компьютера, ничего не выйдет — всё-таки необходимо немного выждать.

Приём может сработать и на других моделях, в том числе других производителей, говорят авторы исследования. Но некоторые современные системы с BIOS и EEPROM, совмещённые в едином корпусе и размещённые по SMD-технологии (Surface Mount Device) взломать по этой методике сложнее — требуется «атака вне чипа» (off-chip attack). А чтобы по-настоящему защитить ноутбук, лучше применять полное шифрование диска. В CyberCX намекнули, что хотят продолжить исследование: вероятно, попробовать прочитать пароль из EEPROM или взломать отвёрткой другие машины.

Учёные Корнеллского университета (США) и Университета имени Бен-Гуриона (Израиль) разработали методику, которая позволяет перехватывать ключи шифрования со считывателей смарт-карт или смартфонов посредством анализа работы светодиодных индикаторов питания, съёмка которых производится при помощи обычных камер наблюдения или камеры iPhone.

Источник изображений: nassiben.com

Методика взлома не является принципиально новой — она основана на анализе сторонних физических показателей устройства, выполняющего криптографические операции. Тщательно отслеживая такие параметры как энергопотребление, звук, электромагнитное излучение или время, необходимое для выполнения операции, гипотетический злоумышленник может собрать достаточно информации для восстановления ключей криптографического алгоритма.

Впервые подобную атаку удалось осуществить японским и немецким шпионам во время Второй мировой войны. Они взломали ключ шифрования на телетайпе Bell Labs, установив рядом с ним осциллограф — возмущения на осциллографе возникали при вводе каждой буквы. В 2019 году огласке была предана уязвимость Minerva, позволявшая восстанавливать 256-битные ключи шифрования на смарт-картах через побочный канал. В прошлом году аналогичный принцип лёг в основу уязвимости Hertzbleed, обнаруженной у процессоров AMD и Intel — криптографические ключи восстановили по перепадам энергопотребления на чипах. Группа американских и израильских учёных восстановила 256-битный ключ шифрования ECDSA на смарт-карте, использовав высокоскоростную съёмку светодиодного индикатора питания на считывающем устройстве; и добилась аналогичных успехов с алгоритмом SIKE на смартфоне Samsung Galaxy S8 — его выдал индикатор питания на подключённых к нему USB-динамиках, а следила за индикатором камера iPhone 13 Pro Max.

Обе методики взлома имеют ограничения, которые делают их неосуществимыми при ряде условий в реальном мире. Но это частично компенсируется простотой атаки: не нужны ни осциллограф, ни электроды, ни другие компоненты, требующие непосредственного физического контакта с объектом атаки — не нужно даже непосредственной близости к нему. Камера, использованная для взлома ключа на смарт-карте, находилась на расстоянии 16 метров от считывающего устройства, а выполняющий данную задачу iPhone был установлен в той же комнате, что и взламываемый Samsung Galaxy, вплотную к индикатору питания на колонках.

Для последующего анализа достаточно стандартной камеры, направленной на светодиодный индикатор питания. Когда процессор устройства выполняет криптографические операции, это вызывает перепады в энергопотреблении устройства — из-за этих перепадов динамически меняется яркость, а иногда и цвет индикатора. Наилучшего эффекта удаётся добиться при использовании эффекта временно́го параллакса (rolling shutter), доступного на современных камерах. Этот эффект позволяет повысить частоту дискретизации камеры iPhone 13 Pro Max, и производить захват данных до 60 000 раз в секунду, но для этого кадр должен быть полностью заполнен изображением светодиодного индикатора на взламываемом устройстве. Хотя первоначально камера смартфона рассчитана на работу с частотой до 120 кадров в секунду.

Для успешного осуществления взлома, поясняют исследователи, необходимо устройство, на котором создаётся цифровая подпись или выполняется аналогичная криптографическая операция. Это устройство должно быть оснащено светодиодным индикатором питания, но в его отсутствие подойдёт подключённое к нему периферийное устройство с таким индикатором — важно, чтобы яркость или цвет индикатора соответствовали уровню энергопотребления основного устройства.

Злоумышленник должен иметь возможность постоянно записывать на видео индикатор питания основного устройства или подключённого к нему периферийного во время выполнения криптографической операции. В случае со считывателем смарт-карт предполагается, что злоумышленник сначала взломал направленную на него камеру наблюдения на расстоянии до 16 метров при условии прямой видимости. Предполагается также, что злоумышленнику подконтрольны зум и поворот камеры — подобные случаи в реальной жизни не так уж редки. Ещё одно условие — при расстоянии в 16 метров освещение в помещении должно быть отключено, а при работающем освещении необходимое расстояние снижается до 1,8 метра. Альтернативой камере наблюдения может быть iPhone. Для анализа необходима 65-минутная видеозапись постоянной работы считывателя смарт-карт. В случае со смартфоном Samsung Galaxy источником уязвимости является светодиодный индикатор на подключённых к нему USB-динамиках. Наконец, предполагается, что взламываемые устройства используют кодовую базу, которая не была исправлена после раскрытия уязвимостей Minerva и Hertzbleed.

Как выяснилось, в реальной жизни эти ограничения не являются залогом безопасности. Исследователи обнаружили, что подверженные атаке считыватели смарт-карт шести моделей продаются на Amazon. В их описании присутствуют слова «Министерство обороны» и «военный», да и сами эти устройства продолжают использоваться вооружёнными силами США для удалённого подключения к несекретным сетям. В корпорациях, муниципальных ведомствах и органах государственной власти ограничения явно носят ещё менее строгий характер. Стоит также отметить, что после огласки уязвимости Hertzbleed компания Samsung решила отказаться от алгоритма SIKE, который использовался на смартфоне Galaxy S8.

Профильные специалисты отметили, что важность исследования американских и израильских учёных трудно переоценить. Раньше для подобных атак требовался физический контакт со взламываемым устройством, что делало их реализацию маловероятной в реальной жизни. Теперь же выяснилось, что аналогичных результатов можно достичь при помощи стандартного оборудования — в опытах учёные использовали камеры разрешения Full HD с 8-битным цветом и 25-кратным зумом. Современные смартфоны вроде iPhone 14 Pro Max и Samsung Galaxy S23 Ultra поддерживают 10-битный цвет, а профессиональные видеокамеры поддерживают 12 и 14 бит глубины цвета. Всё это, как и более высокие показатели зума на современных камерах наблюдения, поможет повысить эффективность удалённой атаки.

Для защиты от уязвимости авторы исследования предложили несколько контрмер. К светодиодному индикатору питания можно подключить конденсатор, который будет играть роль «фильтра нижних частот», или усилитель. Но пока неясно, воспользуются ли этим советом производители. А пока владельцам считывающих устройств остаётся разве что демонтировать или заклеить эти индикаторы.

Базы клиентов гипермаркетов «Ашан» и «Твой дом», а также магазинов сети Gloria Jeans оказались в открытом доступе. Информацию, включающую имена, номера телефонов и адреса доставки, опубликовал хакер, ранее обнародовавший данные клиентов экосистемы «Сбера». Причиной одной из утечек может стать выявленная в прошлом году уязвимость CMS «1С-Битрикс», пишет «Коммерсантъ».

Источник изображения: Gerd Altmann / pixabay.com

Базы клиентов «Ашана» и Gloria Jeans представлены в текстовых файлах, сообщили исследователи сервиса разведки утечек данных и мониторинга даркнета DLBI. Эти базы содержат соответственно 7,8 млн и 3 млн строк. Информация о клиентах гипермаркета «Твой дом» представлена в виде таблицы (более 713 тыс. строк), экспортируемой с сайтов на CMS «1С-Битрикс». Базы «Ашана» и Gloria Jeans содержат имена и фамилии, телефоны, адреса электронной почты и адреса доставки клиентов — последний пункт отсутствует в таблице гипермаркетов «Твой дом».

Служба безопасности сети «Ашан» подтвердила факт утечки пользовательских данных — сейчас проводится его расследование, направленное на установление «вектора атаки и источника». Gloria Jeans проводит проверку принадлежности данных покупателям. Владеющая сетью «Твой дом» Crocus Group на запрос не ответила. Данные опубликовал хакер, ранее выложивший данные клиентов экосистемы «Сбера» — он сообщил, что планирует опубликовать базы 12 крупных компаний, хотя пока известно о 9 жертвах.

Учитывая даты в опубликованных материалах, взлом сайтов розничных сетей был осуществлён в мае, предполагают опрошенные «Коммерсантом» эксперты: кибератаки на ресурсы, вероятно, производились в одно время и по одному сценарию. Источником утечки данных, предполагают в DLBI, в случае с сетью «Твой дом», могла оказаться выявленная в прошлом году уязвимость CMS «1С-Битрикс». Компания сама сообщила об этом инциденте и оперативно выпустила закрывающее эту уязвимость обновление платформы. При этом последняя волна взломов сайтов на устаревших версиях «1С-Битрикс» зафиксирована 26 мая.