Учёные Корнеллского университета (США) и Университета имени Бен-Гуриона (Израиль) разработали методику, которая позволяет перехватывать ключи шифрования со считывателей смарт-карт или смартфонов посредством анализа работы светодиодных индикаторов питания, съёмка которых производится при помощи обычных камер наблюдения или камеры iPhone.

Источник изображений: nassiben.com

Методика взлома не является принципиально новой — она основана на анализе сторонних физических показателей устройства, выполняющего криптографические операции. Тщательно отслеживая такие параметры как энергопотребление, звук, электромагнитное излучение или время, необходимое для выполнения операции, гипотетический злоумышленник может собрать достаточно информации для восстановления ключей криптографического алгоритма.

Впервые подобную атаку удалось осуществить японским и немецким шпионам во время Второй мировой войны. Они взломали ключ шифрования на телетайпе Bell Labs, установив рядом с ним осциллограф — возмущения на осциллографе возникали при вводе каждой буквы. В 2019 году огласке была предана уязвимость Minerva, позволявшая восстанавливать 256-битные ключи шифрования на смарт-картах через побочный канал. В прошлом году аналогичный принцип лёг в основу уязвимости Hertzbleed, обнаруженной у процессоров AMD и Intel — криптографические ключи восстановили по перепадам энергопотребления на чипах. Группа американских и израильских учёных восстановила 256-битный ключ шифрования ECDSA на смарт-карте, использовав высокоскоростную съёмку светодиодного индикатора питания на считывающем устройстве; и добилась аналогичных успехов с алгоритмом SIKE на смартфоне Samsung Galaxy S8 — его выдал индикатор питания на подключённых к нему USB-динамиках, а следила за индикатором камера iPhone 13 Pro Max.

Обе методики взлома имеют ограничения, которые делают их неосуществимыми при ряде условий в реальном мире. Но это частично компенсируется простотой атаки: не нужны ни осциллограф, ни электроды, ни другие компоненты, требующие непосредственного физического контакта с объектом атаки — не нужно даже непосредственной близости к нему. Камера, использованная для взлома ключа на смарт-карте, находилась на расстоянии 16 метров от считывающего устройства, а выполняющий данную задачу iPhone был установлен в той же комнате, что и взламываемый Samsung Galaxy, вплотную к индикатору питания на колонках.

Для последующего анализа достаточно стандартной камеры, направленной на светодиодный индикатор питания. Когда процессор устройства выполняет криптографические операции, это вызывает перепады в энергопотреблении устройства — из-за этих перепадов динамически меняется яркость, а иногда и цвет индикатора. Наилучшего эффекта удаётся добиться при использовании эффекта временно́го параллакса (rolling shutter), доступного на современных камерах. Этот эффект позволяет повысить частоту дискретизации камеры iPhone 13 Pro Max, и производить захват данных до 60 000 раз в секунду, но для этого кадр должен быть полностью заполнен изображением светодиодного индикатора на взламываемом устройстве. Хотя первоначально камера смартфона рассчитана на работу с частотой до 120 кадров в секунду.

Для успешного осуществления взлома, поясняют исследователи, необходимо устройство, на котором создаётся цифровая подпись или выполняется аналогичная криптографическая операция. Это устройство должно быть оснащено светодиодным индикатором питания, но в его отсутствие подойдёт подключённое к нему периферийное устройство с таким индикатором — важно, чтобы яркость или цвет индикатора соответствовали уровню энергопотребления основного устройства.

Злоумышленник должен иметь возможность постоянно записывать на видео индикатор питания основного устройства или подключённого к нему периферийного во время выполнения криптографической операции. В случае со считывателем смарт-карт предполагается, что злоумышленник сначала взломал направленную на него камеру наблюдения на расстоянии до 16 метров при условии прямой видимости. Предполагается также, что злоумышленнику подконтрольны зум и поворот камеры — подобные случаи в реальной жизни не так уж редки. Ещё одно условие — при расстоянии в 16 метров освещение в помещении должно быть отключено, а при работающем освещении необходимое расстояние снижается до 1,8 метра. Альтернативой камере наблюдения может быть iPhone. Для анализа необходима 65-минутная видеозапись постоянной работы считывателя смарт-карт. В случае со смартфоном Samsung Galaxy источником уязвимости является светодиодный индикатор на подключённых к нему USB-динамиках. Наконец, предполагается, что взламываемые устройства используют кодовую базу, которая не была исправлена после раскрытия уязвимостей Minerva и Hertzbleed.

Как выяснилось, в реальной жизни эти ограничения не являются залогом безопасности. Исследователи обнаружили, что подверженные атаке считыватели смарт-карт шести моделей продаются на Amazon. В их описании присутствуют слова «Министерство обороны» и «военный», да и сами эти устройства продолжают использоваться вооружёнными силами США для удалённого подключения к несекретным сетям. В корпорациях, муниципальных ведомствах и органах государственной власти ограничения явно носят ещё менее строгий характер. Стоит также отметить, что после огласки уязвимости Hertzbleed компания Samsung решила отказаться от алгоритма SIKE, который использовался на смартфоне Galaxy S8.

Профильные специалисты отметили, что важность исследования американских и израильских учёных трудно переоценить. Раньше для подобных атак требовался физический контакт со взламываемым устройством, что делало их реализацию маловероятной в реальной жизни. Теперь же выяснилось, что аналогичных результатов можно достичь при помощи стандартного оборудования — в опытах учёные использовали камеры разрешения Full HD с 8-битным цветом и 25-кратным зумом. Современные смартфоны вроде iPhone 14 Pro Max и Samsung Galaxy S23 Ultra поддерживают 10-битный цвет, а профессиональные видеокамеры поддерживают 12 и 14 бит глубины цвета. Всё это, как и более высокие показатели зума на современных камерах наблюдения, поможет повысить эффективность удалённой атаки.

Для защиты от уязвимости авторы исследования предложили несколько контрмер. К светодиодному индикатору питания можно подключить конденсатор, который будет играть роль «фильтра нижних частот», или усилитель. Но пока неясно, воспользуются ли этим советом производители. А пока владельцам считывающих устройств остаётся разве что демонтировать или заклеить эти индикаторы.

Базы клиентов гипермаркетов «Ашан» и «Твой дом», а также магазинов сети Gloria Jeans оказались в открытом доступе. Информацию, включающую имена, номера телефонов и адреса доставки, опубликовал хакер, ранее обнародовавший данные клиентов экосистемы «Сбера». Причиной одной из утечек может стать выявленная в прошлом году уязвимость CMS «1С-Битрикс», пишет «Коммерсантъ».

Источник изображения: Gerd Altmann / pixabay.com

Базы клиентов «Ашана» и Gloria Jeans представлены в текстовых файлах, сообщили исследователи сервиса разведки утечек данных и мониторинга даркнета DLBI. Эти базы содержат соответственно 7,8 млн и 3 млн строк. Информация о клиентах гипермаркета «Твой дом» представлена в виде таблицы (более 713 тыс. строк), экспортируемой с сайтов на CMS «1С-Битрикс». Базы «Ашана» и Gloria Jeans содержат имена и фамилии, телефоны, адреса электронной почты и адреса доставки клиентов — последний пункт отсутствует в таблице гипермаркетов «Твой дом».

Служба безопасности сети «Ашан» подтвердила факт утечки пользовательских данных — сейчас проводится его расследование, направленное на установление «вектора атаки и источника». Gloria Jeans проводит проверку принадлежности данных покупателям. Владеющая сетью «Твой дом» Crocus Group на запрос не ответила. Данные опубликовал хакер, ранее выложивший данные клиентов экосистемы «Сбера» — он сообщил, что планирует опубликовать базы 12 крупных компаний, хотя пока известно о 9 жертвах.

Учитывая даты в опубликованных материалах, взлом сайтов розничных сетей был осуществлён в мае, предполагают опрошенные «Коммерсантом» эксперты: кибератаки на ресурсы, вероятно, производились в одно время и по одному сценарию. Источником утечки данных, предполагают в DLBI, в случае с сетью «Твой дом», могла оказаться выявленная в прошлом году уязвимость CMS «1С-Битрикс». Компания сама сообщила об этом инциденте и оперативно выпустила закрывающее эту уязвимость обновление платформы. При этом последняя волна взломов сайтов на устаревших версиях «1С-Битрикс» зафиксирована 26 мая.

Учёные Чжэцзянского университета (Китай) и Дармштадтского технического университета (Германия) обнаружили схему, позволяющую имитировать команды для сенсорных дисплеев при помощи электромагнитных сигналов — она получила название GhostTouch, то есть «призрачное касание».

Источник изображения: Gerd Altmann / pixabay.com

GhostTouch позволяет гипотетическому злоумышленнику разблокировать телефон и открывает доступ к сохранённым на нём конфиденциальным данным, в том числе паролям и банковским приложениям; можно устанавливать и вредоносное ПО. Схема предусматривает и значительные ограничения: оборудование для её реализации должно находиться на расстоянии до 40 мм от смартфона жертвы. При желании злоумышленника это не остановит — он может разместить устройство на обратной стороне стола в библиотеке, кафе или конференц-зале, то есть там, где люди обычно выкладывают смартфоны. После этого атаку можно будет произвести удалённо.

Установлено, что уязвимости GhostTouch подвержены не менее девяти моделей смартфонов, включая iPhone SE образца 2020 года, Samsung Galaxy S20 FE 5G, Redmi 8 и Nokia 7.2. Стоит учесть, что взлом не вполне изящен: при реализации схемы пользователь увидит, как смартфон разблокировался сам по себе. Поэтому лучший способ защититься от подобной атаки — установить PIN-код, графический ключ или воспользоваться биометрией.

Хакерская группа Money Message упростила взлом ноутбуков компании MSI, опубликовав конфиденциальные ключи сертификации программного обеспечения для продуктов производителя, похищенные ранее с серверов самой MSI. Теперь злоумышленники могут заражать ноутбуки под видом официальных BIOS, и система не заметит подвоха.

Источник изображения: Pete Linforth / pixabay.com

В прошлом месяце серверы MSI подверглись хакерской атаке. Злоумышленники похитили конфиденциальные данные и пригрозили их опубликовать, если MSI не заплатит им выкуп в размере нескольких миллионов долларов. Судя по всему, компания не пошла на сделку с хакерами, поэтому последние в четверг на своём сайте в даркнете опубликовали различные закрытые данные производителя, включая ключи аутентификации программного обеспечения для ноутбуков MSI.

Компания Binarly, занимающаяся вопросами кибербезопасности, проанализировала слитые хакерами данные и подтвердила, что в них помимо прочего содержатся ключи BIOS для 57 моделей ноутбуков компании. Binarly опубликовала на своей странице в репозитории GitHub список затронутых моделей ноутбуков.

Скриншот с частью похищенных данных. Источник изображения: PCMag

Эти ключи носят важное значение, поскольку MSI использует их для сертификации обновлений своего программного обеспечения. Без них компьютер будет воспринимать обновление ПО как ненадёжное и потенциально вредоносное. Теперь эти ключи могут оказаться не в тех руках и использоваться для подписи вредоносного кода, но системой он будет восприниматься, как официальный от производителя.

«Ключи подписи к ПО позволяют злоумышленнику создавать вредоносные обновления прошивки, которые могут быть доставлены на систему жертвы через обычные процессы обновления BIOS с помощью инструментов обновления MSI», — прокомментировал в разговоре с изданием PCMag глава компании Binarly Алекс Матросов (Alex Matrosov).

Посредством ключей вредоносное ПО может оказаться на компьютере пользователя через фейковые сайты или электронные письма, якобы от MSI. Однако по словам Матросова, ключевой вектор атаки в данном случае будет проводиться через «вторичную загрузку» — после того, как вредоносное ПО окажется на компьютере жертвы посредством загрузки через браузер или фишинговую атаку. Большинство антивирусных систем в этом случае просто проигнорируют вредоносное ПО на компьютере, поскольку посчитают, что оно подписано самим производителем.

Ещё одной проблемой является утечка ключей для Intel Boot Guard, которая обеспечивает аппаратную защиту целостности загрузки BIOS, отслеживает несанкционированные блоки загрузки и запрещает их исполнение. По данным Binarly, в утёкших данных MSI содержатся ключи Intel Boot Guard для 117 продуктов компании. При этом отмечается, что технология Intel Boot Guard используется во многих сегментах.

«Утечка ключей Intel BootGuard накладывает отпечаток на всей экосистеме, а не только на продуктах MSI, и делает эту функцию безопасности бесполезной», — говорит Матросов. В MSI и Intel на запрос комментариев PCMag не ответили.

К настоящему моменту в MSI лишь посоветовали своим пользователям не скачивать её софт из неофициальных источников. По мнению Матросова, у MSI очень ограничен выбор возможных решений этой проблемы. «Мне кажется, что MSI оказалась в очень затруднительной ситуации, поскольку для обновления ключей на новые безопасные потребуется использовать старые ключи, которые были похищены. Я не думаю, что у компании имеется некий механизм, позволяющий просто отозвать скомпрометированные ключи», — добавил эксперт.

В преддверии Всемирного дня паролей, который отмечается 4 мая, опубликован отчёт со списком наиболее часто используемых паролей в США и 29 других странах. Независимые исследователи обработали более 3 Тбайт данных и определили 200 самых популярных комбинаций. Многие пароли остаются в списке годами, хотя «123456» утратил лидерство в этом своеобразном хит-параде, уступив слову «guest». Сообщается, что 83 % паролей из списка можно взломать менее чем за секунду.

Источник изображения: Pixabay

Компания NordPass, которая привлекла исследователей для изучения парольных данных, отмечает, что «несмотря на растущую осведомлённость о кибербезопасности, от старых привычек трудно избавиться. Люди по-прежнему используют слабые пароли для защиты своих учётных записей». Например, простые комбинации букв, цифр и символов, такие как «a1b2c3», «abc123» или «qwerty», очень популярны в США.

При создании паролей люди склонны черпать вдохновение из культурного опыта, тенденций образа жизни или недавних событий, будь то спорт или мода. Например, названия американских профессиональных спортивных команд (Detroit Red Wings, Boston Red Sox) или их вариации очень часто используются в качестве защиты для аккаунта пользователя. Хит-парад из 20 самых распространённых паролей в США выглядит следующим образом:

1. guest
2. 123456
3. password
4. 12345
5. a1b2c3
6. 123456789
7. Password1
8. 1234
9. abc123
10. 12345678
11. qwerty
12. baseball
13. football
14. unknown
15. soccer
16. jordan23
17. iloveyou
18. monkey
19. shadow
20. g_czechout

Источник изображения: Pixabay

В начале апреля мы рассказывали о том, какую серьёзную угрозу для довольно сильных паролей представляют новые инструменты взлома на основе ИИ. Даже пользователям с привычкой серьёзно относится к качеству и сложности пароля не помешает провести аудит и напомнить менее технически подкованным друзьям и членам семьи прописные истины и базовые правила компьютерной безопасности:

• Использовать двухэтапную аутентификацию 2FA/MFA (по возможности не на основе SMS);
• Проверять диспетчер паролей на наличие предупреждений о скомпрометированных или повторно используемых паролях;
• Не использовать один и тот же пароль для разных учётных записей;
• Применять сложные автоматически сгенерированные пароли;
• Регулярно обновлять пароли, особенно для конфиденциальных учётных записей;
• Воздержаться от использования общедоступного Wi-Fi, особенно для финансовых операций;
• Для ещё большей безопасности использовать физические ключи безопасности.

Киберпреступники, которые в конце марта 2023 года взломали ресурсы Western Digital (WD) и похитили конфиденциальные данные, опубликовали скриншоты внутренней переписки по электронной почте и других документов, которые, по их мнению, свидетельствуют о недостаточности усилий компании по устранению инцидента.

Источник изображения: westerndigital.com

В общей сложности обнаружены 29 скриншотов писем, документов и видеоконференций, имеющих отношение к действиям WD после взлома. Логично предположить, что хакеры до сих пор удерживают доступ к системам компании, но это не обязательно так. Обычно вслед за такими инцидентами жертвы киберпреступников пытаются понять, каким образом был получен доступ, после чего уязвимость блокируется. Иными словами, между обнаружением взлома и реагированием на инцидент может пройти некоторое время — как раз в это окно хакеры могли сделать скриншоты.

В конце марта неизвестные злоумышленники взломали системы WD и похитили 10 Тбайт конфиденциальных данных — они не стали их шифровать и заявили, что не связаны с другими группировками вымогателей. Хакеры призвали компанию заплатить выкуп с угрозой в противном случае нанести компании ущерб. Киберпреступники также поделились частью информации с журналистами, однако те пришли к выводу, что её подлинность не может быть подтверждена независимой экспертизой. Чтобы устранить уязвимость, WD временно закрыла доступ к своим облачным службам. Публикацию скриншотов компания комментировать не стала.

Обнаружен новый способ взлома систем по побочному каналу, затрагивающий несколько поколений процессоров Intel. Данный способ атаки позволяет извлечь конфиденциальные данные через регистр EFLAGS и анализ тайминга выполнения инструкций. Фактически это ответвление уязвимости Meltdown, которая была обнаружена в 2018 году и затрагивает многие микропроцессоры на базе x86, а позже было обнаружено ещё ряд уязвимостей данного типа.

Источник изображения: freepik

По словам исследователей из Университета Цинхуа и Университета Мэриленда, новый способ взлома использует уязвимость во временном выполнении, которая позволяет извлекать секретные данные из пространства пользовательской памяти посредством временного анализа.

Исследователи считают, что лазейка для взлома — это недостаток в изменении регистра EFLAGS при переходном выполнении, влияющий на синхронизацию инструкций JCC (переход по коду условия). Регистр EFLAGS — это регистр ЦП, который содержит различные флаги, связанные с состоянием процессора, а инструкция JCC — это инструкция ЦП, которая допускает условное ветвление на основе содержимого регистра EFLAGS. Атака выполняется в два этапа: первый заключается в запуске временного выполнения и кодировании секретных данных через регистр EFLAGS, а второй — в измерении времени выполнения инструкции JCC для декодирования данных.

Источник изображений: arxiv.org

Экспериментальные данные показали, что атака позволила извлечь 100 % данных в случае с системами на Intel Core i7-6700 и Intel Core i7-7700, и имела некоторый успех против более нового процессора Intel Core i9-10980XE. Эксперимент проводился на Ubuntu 22.04 jammy с ядром Linux версии 5.15.0. Тем не менее, исследователи отмечают, что эта атака по времени не так надёжна, как методы побочного канала с состоянием кеша, и чтобы получить лучшие результаты в последних чипах, атаку пришлось бы повторять тысячи раз.

Исследователи признают, что первопричины атаки остаются неуловимыми, и предполагают, что в исполнительном блоке ЦП Intel есть буфер, которому нужно время для возврата, если выполнение должно быть прекращено и процесс, который вызывает остановку, если последующая инструкция зависит от цели буфера.

Тем не менее, они по-прежнему предлагают некоторые нетривиальные меры, такие как изменение реализации инструкции JCC, чтобы сделать измерение состязательного выполнения невозможным ни при каких условиях, или переписывание EFLAGS после временного выполнения, чтобы уменьшить его влияние на инструкцию JCC.

Искусственный интеллект, как любое другое техническое достижение, имеет и «тёмную сторону». К примеру, предназначенная специально для подбора паролей ИИ-модель PassGAN справляется с 51 % из них менее чем за минуту, а на взлом 71 % уходит всего лишь день. Таковы результаты исследования, проведённого компанией Home Security Heroes.

Источник изображений: homesecurityheroes.com

В качестве исходных данных платформа использует содержащий 15 млн записей словарь Rockyou, но благодаря уникальному подходу у ИИ уходит менее минуты на взлом 51 % паролей, менее часа на 65 %, менее суток на 71 % и менее месяца на 81 %. Залогом высокой результативности PassGAN является то, что модель «автономно изучает распределение реальных паролей в реальных утечках».

Защититься от подобной атаки вполне возможно, достаточно принять ряд мер, которые и без того рекомендуют эксперты по безопасности: длина пароля должна быть не менее 12 знаков с использованием заглавных и строчных букв, цифр и спецсимволов — любой новый тип значительно усложняет задачу гипотетическому злоумышленнику. Пароль в 18 знаков с символами всех типов считается для ИИ невзламываемым — современной системе потребуется 6 квадриллионов лет на его подбор.

Эксперты Home Security Heroes напомнили и про дополнительные средства защиты:

• использовать двухфакторную/многофакторную авторизацию, по возможности не с SMS;
• не использовать одинаковые пароли для разных учётных записей;
• генерировать пароли автоматизированными средствами;
• регулярно обновлять пароли;
• воздерживаться от использования общедоступных сетей Wi-Fi, особенно при работе с онлайн-банком и другими подобными службами.

На странице с результатами исследования также есть инструмент, при помощи которого можно проверить защищенность пароля от взлома ИИ. Компания утверждает, что введённые в это поле данные не сохраняет и никуда не передаёт, и причин сомневаться в этом нет. Но вводить в него актуальные пароли всё-таки не рекомендуется.

Компания MSI ранее сообщила, что её сетевая инфраструктура подвергалась кибератаке. Производитель компьютерных комплектующих не стал вдаваться в подробности взлома и не сообщил, были в результате этого инцидента затронуты данные пользователей. Как стало известно порталу BleepingComputer, ответственность за взлом взяла на себя некая группировка хакеров-вымогателей Money Message.

Источник изображения: MSI

Хакеры утверждают, что получили доступ к 1,5 Тбайт данных из CTMS- и ERP-систем, содержащих различную конфиденциальную информацию MSI. В частности, были похищены исходные коды программного обеспечения MSI, включая данные о структуре прошивок BIOS, используемых в продуктах производителя, криптографические ключи и прочие файлы.

Источник изображения: BleepingComputer

Злоумышленники угрожают опубликовать украденные данные в открытый доступ на следующей неделе, если MSI не согласится с их требованием о выкупе в размере $4 млн. BleepingComputer обратился за комментариями в MSI, но там ответа пока не предоставили.

Как сообщается, хакерская группа Money Message образовалась в прошлом месяце. По данным компании Cyble, занимающейся вопросами кибербезопасности, целями указанной группы злоумышленников являются системы на базе Window и Linux. Преступники стараются получить доступ к сетевой инфраструктуре жертвы, зашифровывают её, а затем требуют выкуп. Перед внедрением программ-вымогателей хакеры обычно пытаются украсть данные администраторов IT-сетей.

Компания MSI опубликовала заявление, в котором сообщила своим клиентам, что её информационные системы подверглись кибератаке.

Источник изображения: MSI

Производитель компьютерных комплектующих не пояснил, какая именно часть его сетевой инфраструктуры подверглась атаке хакеров, и было ли что-то похищено, однако в компании отметили, что обнаружили аномалии в работе внутренней сети и запустили соответствующие защитные механизмы. В частности, MSI обратилась к местным органам правопорядка, а также специалистам по кибербезопасности.

В своём заявлении производитель компьютерных комплектующих указал, что постепенно вернул в работу все свои сетевые структуры, а сама кибератака не оказала значительного влияния на её бизнес-операции. Однако компания призвала потребителей не скачивать BIOS, а также любое другое программное обеспечение под брендом MSI из неизвестных источников. Свежие прошивки и ПО компания настоятельно рекомендует скачивать только с её официального сайта.

Хотя в MSI не уточнили, мог ли тот, кто совершил кибератаку на серверы компании, завладеть каким-либо её программным обеспечением, рекомендации производителя намекают на такую возможность.

Эксперты по автомобильной безопасности доложили об обнаружении нового способа угона машин — он основывается на прямом доступе к системной шине транспортного средства через проводку фары. Изготавливаются даже устройства для осуществления такого взлома, и выглядят они как Bluetooth-динамики.

Источник изображения: twitter.com/mintynet

На принадлежащем одному из экспертов Toyota RAV4 однажды появились странные повреждения переднего крыла и корпуса фары, а несколько дней спустя машину угнали. В результате расследования выяснилось, что автомобиль был взломан при помощи так называемой CAN-инъекции. CAN-шина (Controller Area Network) присутствует почти во всех современных автомобилях и используется установленными на машине контроллерами и устройствами для координации работы.

При взломе посредством CAN-инъекции злоумышленник подключается к локальной сети контроллеров автомобиля и рассылает служебные сообщения, как если бы их отправителем был владелец машины. Разблокирует транспортное средство, отключает иммобилайзер двигателя, после чего автомобиль легко угнать. Для получения доступа к сети угонщик, например, взламывает корпус фары и подсоединяется к разъёму CAN-шины, впоследствии манипулируя устройствами на машине.

Так выглядит устройство для CAN-инъекций. Источник изображения: kentindell.github.io

Когда была угнана Toyota RAV4, владелец провёл техническое расследование инцидента, начав его с анализа данных в приложении MyT от Toyota — незадолго до кражи автомобиля в журнале было зарегистрировано несколько подозрительных сбоев. При дальнейшем анализе стало ясно, что это был не выход компонентов из строя, а разрыв связи между ними. Общим же фактором оказалась CAN-шина.

При дальнейшем расследовании выяснились весьма тревожные подробности, например, тот факт, что в большинстве современных автомобилей служебные сообщения в сети CAN лишены какой-либо защиты — выступающие получателями контроллеры просто им доверяют. Но куда большую обеспокоенность вызвал анализ ресурсов в даркнете: «народные умельцы» изготавливают устройства для взлома машин через CAN-инъекции и прячут их внутри обычного беспроводного динамика.

Компоненты для взлома распаиваются прямо на плате колонки. Источник изображения: kentindell.github.io

Дополнительные компоненты себестоимостью около $10 распаиваются прямо на системной плате колонки. Гаджет поставляется с кабелями, которые подключаются в открытый разъём шины, а по нажатии кнопки «Play» на корпусе система отправляет в сеть все необходимые команды на разблокировку.

Хакеры взломали серверы компании Western Digital и похитили данные. Производитель жёстких дисков, твердотельных и флеш-накопителей, а также других устройства хранения данных, временно отключил свой облачный сервис My Cloud для предотвращения дальнейших утечек.

Источник изображения: Mika Baumeister / unsplash.com

Калифорнийская компания сегодня подтвердила, что столкнулась с «инцидентом сетевой безопасности» ещё 26 марта. «Согласно нашему внутреннему расследованию, некая неавторизованная сторона получила доступ к определённым данным наших систем. Ведётся оценка природы взлома и тех данных, к которым был получен неавторизованный доступ», — прокомментировали в компании.

В Western Digital также отметили, что взлом «может вызывать проблемы в работе» определённых сервисов компании. На минувших выходных пользователи облачного сервиса Western Digital стали жаловаться на отсутствие доступа к их хранилищу My Cloud. Сайт авторизации My Cloud встречал посетителей с ошибкой «503 сервис временно недоступен».

В компании сообщили, что работают над тем, чтобы отключить некоторые сервисы и системы от общей сети «в качестве упреждающих мер», направленных на изоляцию её IT-систем от злоумышленников. На данный момент неизвестно, подверглась ли Western Digital атаке вируса-вымогателя, который мог бы зашифровать все или часть данных, к которым хакеры могли получить доступ.

Без уточнения деталей в компании заявили, что хакеры «получили доступ к ряду её внутренних систем». Касается ли это пользовательских данных — неизвестно. В настоящий момент Western Digital ведёт консультации со специалистами по кибербезопасности, а также сотрудничает с правоохранительными органами по поводу произошедшего инцидента.

Неизвестный киберпреступник, взломавший децентрализованную финансовую платформу Euler, принёс свои извинения и вернул криптовалюту на сумму $175 млн. Оставшиеся средства он обещал вернуть в кратчайшие сроки и заявил, что задерживает выплату из опасений за свою безопасность.

Источник изображения: Pete Linforth / pixabay.com

В середине марта в результате взлома Euler Finance были похищены цифровые активы в DAI, WBTC, stETH и USDC на общую сумму $197 млн. Разработчики платформы объявили за поимку хакера награду в $1 млн и начали переписываться с ним через транзакции в блокчейне. В какой-то момент он начал возвращать похищенные средства — по данным компании PeckShield, к настоящему моменту он передал активов на $175 млн.

В комментариях к транзакциям хакер принёс извинения за случившееся и заявил, что собирается вернуть все похищенные средства. Однако, по его словам, это займёт какое-то время, потому что он опасается за собственную безопасность. При этом сам киберпреступник уже подвергался атакам со стороны других хакеров, в том числе со стороны группировки Lazarus Group, которую связывают с крупнейшей в истории криптовалютной кражей в результате взлома платформы Ronin, когда у игрового проекта Axie Infinity были похищены активы на $625 млн.

В рамках проходящей на этой неделе в Ванкувере конференции по информационной безопасности Pwn2Own исследователи сумели дважды взломать систему безопасности Tesla. За это они получили вознаграждение в размере $100 тыс. и электромобиль Tesla Model 3.

Источник изображения: electrek.co

Tesla давно работает над повышением безопасности используемого в своих электромобилях программного обеспечения и уже не первый год участвует в ежегодной конференции Pwn2Own. В рамках нынешнего мероприятия исследователи дважды провели успешную атаку против системы безопасности Tesla.

В первом случае специалисты из компании Synacktiv провели успешную атаку «time-of-check to time-of-use» (TOCTOU) против Tesla Gateway. Уязвимость такого типа позволяет обойти систему проверки безопасности за счёт использования временного интервала между проверкой ресурса на безопасность и его применением. Исследователи успешно изменили состояние безопасного ресурса после выполнения проверки безопасности, но до получения к нему доступа авторизованного пользователя. В итоге они смогли получить root-доступ к системе Tesla и взять под полный контроль атакуемый электромобиль.

В рамках второй успешной атаки специалистов из Synacktiv через Bluetooth была взломана информационно-развлекательная система Model 3. Всего же участники команды Synacktiv успешно завершили большинство попыток взлома разных продуктов, заработав 53 очка Master of Pwn и получив суммарно $530 тыс. в виде вознаграждения.

Власти США сообщили, что несколько хакерских группировок, в том числе якобы поддерживаемая официальным Пекином, эксплуатировали уязвимость в одном из приложений, обнаруженную ещё 4 года назад, для взлома ресурсов федерального правительственного ведомства США.

Источник изображения: Gerd Altmann / pixabay.com

Речь идёт об инструменте Telerik, предназначенном для разработки компонентов и тем для веб-приложений, который был запущен на доступном из интернета сервере некоего американского федерального ведомства, относящегося к ветви исполнительной власти. Уязвимость Telerik имеет порядковый номер CVE-2019-18935 и оценку 9,8 (критическая) — она вошла в число наиболее часто эксплуатируемых уязвимостей в 2020 и 2021 гг. Ошибка была обнаружена в 2019 году, и АНБ США ранее предупреждало, что она используется якобы поддерживаемыми Пекином хакерами для взлома компьютерных систем, которые содержат «конфиденциальные данные об интеллектуальной собственности, экономическую, политическую и военную информацию».

Злоумышленникам удалось «успешно запустить удалённый код» на веб-сервере ведомства и открыть доступ к его внутренним ресурсам, сообщило американское Агентство по кибербезопасности и защите инфраструктуры (CISA). Сканер уязвимостей системы не смог выявить брешь в системе безопасности, потому что ПО Telerik было установлено вне зоны регулярного сканирования. Эта же уязвимость, заявили в агентстве, эксплуатировалась несколькими хакерскими группировками с ноября 2022 по январь 2023 гг. Использующим ПО Telerik организациям CISA рекомендовало установить его обновлённую версию. Представители поглотившей Telerik в 2014 году компании Progress Software комментариев не дали.