Security Week 47: синезубые игрушки, зеленоглазое такси с утечкой и трюмный тетрис

Новость на русском ^[1], подробности на английском ^[2]

Когда мы не смотрим, игрушки оживают и начинают делать гадости — студия Pixar бы такой мультик не сняла, а вот реальность оказалась менее разборчивой. Британская организация по защите потребителей Which? проверила несколько интерактивных игрушек распространенных марок и обнаружила почти у всех одну и ту же проблему. Подкованный злоумышленник может без труда взломать использовать их чтобы подслушивать, что творится в семье, разговаривать с ребенком от имени его разноцветного друга или даже попытаться пролезть в домашнюю сеть.

В этот раз исследованию подвергли Furby Connect, I-Que Intelligent Robot, CloudPets и Toy-fi Teddy и еще ряд моделей. Их производители, похоже, забыли, что Bluetooth действует в радиусе 10 м: если родитель может соединиться с игрушечным роботом через незащищенное приложение, то что помешает злоумышленнику, который стоит на улице за стенкой, скачать то же приложение и передать свой собственный привет?

Этим, кстати, возможности издевательства над игрушкой не ограничиваются. Если в доме есть, например, управляемая голосом система, то оставленный недалеко от микрофона уязвимый робот может под руководством злоумышленника сделать заказ на Amazon. А сделав установку, которая может кататься по улицам, сканируя округу на предмет незащищенных игрушек в активном состоянии, можно поставить эксплуатацию бага на поток. В общем, возможностей масса.

Тем не менее производители игрушек — по крайней мере, те, которые хоть как-то прокомментировали эту историю — посчитали проблему не заслуживающей внимания. Мол, усилия на взлом игрушки не стоят информации, которую можно получить с ее помощью. Ответ настолько беспомощный, что даже препарировать его не хочется.

Потребовалось всего-навсего несколько десятков лет, чтобы под давлением родителей и возмущенной общественности именитые производители прекратили выпускать игрушки со свинцовой краской или мелкими детальками, которые неуемное любопытство так и побуждает засунуть в ноздрю или ухо. Но вот до того, чтобы защищать подключение Bluetooth хотя бы паролем или серийным номером игрушки, они явно еще не дозрели.

У Uber украли данные. И уже давно.

Новость на русском ^[3], подробнее на английском ^[4]

Как мы узнали на этой неделе, год назад у Uber украли огромную базу данных с именами, номерами телефонов и адресами электронной почты клиентов. Оказалось, что в целях оптимизации эти данные хранились не где-нибудь, а на GitHub и Амazon S3. В итоге злоумышленники украли данные около 57 млн пользователей, среди прочего — 600 тыс. водительских удостоверений. По заверениям Uber, более важные данные пользователей, такие как номера их кредитных карт и даты рождения, остались в неприкосновенности, потому что хранились в собственной инфраструктуре компании.

В итоге Uber заплатила ворам 100 тыс. долларов, чтобы они уничтожили полученные данные. Но гарантий, что информацию действительно удалили, а не продали их кому-нибудь еще, дать никто не может.

Конечно, сумма немалая, но, с другой стороны, если бы вступил в силу европейский закон о защите данных (GDPR), Uber попала бы на штраф в пару миллионов. Зарубежные аналитики склонны винить в утечке несовершенство законов, которые недостаточно наказывают компании за скупость и разгильдяйство при организации хранения данных. Это, конечно, верно, но одними карательными мерами ситуацию не исправишь, нужен системный подход к защите облачных данных.

Как потопить корабль

Новость на русском ^[5], подробнее на английском ^[6]

Специалист Pen Test Partners придумал по-настоящему креативный способ потопить корабль с помощью хакерских навыков. Взломать навигационную систему корабля и разбить его о скалы сложно: там надежная защита. А вот обмен сообщениями между портом и кораблями, особенно в части распределения грузов, далеко не так безопасен. Как правило, злоумышленников интересуют прежде всего распоряжения о перемещении контейнеров в самом порту: изменив их, можно направить груз по другому маршруту — проще говоря, украсть. Но если перехватить запросы BAPLIE EDIFACT, с помощью которых создаются планы погрузки и размещения грузов в трюме корабля, то вам откроется увлекательная игра в 3D-тетрис с настоящими грузами…

Чтобы просто похулиганить, можно перемешать обозначения всех грузов, чтобы погрузка и разгрузка потребовали многих дней вместо нескольких часов. Хотя и это выльется в миллионные убытки компании-перевозчику.

А если вас одолела жажда крови, можно изменить центр тяжести и вес самых крупных грузов, чтобы их поместили не в трюм, как положено, а на палубу. В некоторых портах проводят контрольное взвешивание перед погрузкой, но далеко не во всех. Поскольку грузы поднимают подъемные краны, а не люди, у обмана есть все шансы не быть раскрытым. В результате корабль вполне может перевернуться.

Затонувший при выходе из порта транспортник вряд ли приведет к человеческим жертвам, но уж точно влетит в копеечку и самому порту, и всем грузовозам, которые не смогут отправиться по назначению. Так что в поиске решения заинтересованы далеко не только ИБ-специалисты.

Древности

Joshi

Очень опасный «стелс»-вирус, длина 4086 байт (9 секторов). Заражает Boot-сектор флоппи-дисков и MBR винчестера при обращении к ним (int 13h, ah=2, 3, 4, 0Ah, 0Bh).

Проявляется 5 января: выводит сообщение: «Туре ‘Happy Birthday, Joshi’!» и ждет ввода с клавиатуры фразы «Happy Birthday, Joshi!». Изменяет векторы прерываний 8, 9, 13h, 21h.

Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.

Автор: Kaspersky_Lab

Источник ^[7]