Случайны выбор дневника Раскрыть/свернуть полный список возможностей


Найдено 2272 сообщений
Cообщения с меткой

huawei - Самое интересное в блогах

Следующие 30  »
rss_rss_hh_new

Security Week 15: Дырявый модем в Huawei, VirusTotal как канал утечки данных, Microsoft патчится от Dridex

Пятница, 14 Апреля 2017 г. 17:55 (ссылка)

Бывают же люди, до чужих багов жадные. Ральф-Филипп Вайнман из Comsecuris явно слегка повернут на уязвимостях беспроводных модемов – он копает эту тему как минимум с 2011 года, безжалостно бичуя поставщиков дырявых чипсетов. Почти каждый год выступает с новым докладом. В этот раз досталось Huawei, точнее, ее дочке HiSilicon Technologies. И достанется еще не раз: компания по доброте душевной опубликовала исходники ядра Huawei H60 Linux, что крутится у них под чипами серии Kirin, а вместе с ними слила и прошивку для HiSilicon Balong – сотового модема, который стоит в смартфонах Huawei.



Что тут началось! Впрочем, что именно тут началось нам доподлинно не узнать, но Вайнман кинулся искать дыры. И, разумеется, нашел и показал. А сколько черных шляп нашли, но ничего не сказали?.. Риторический вопрос. Однако исходники уже несвежие, но это не особо мешает поиску уязвимостей, которые, если верить Rand Corporation, живут в софте в среднем по 7 лет. А смартфонов с разными версиями этой прошивки на руках у народа – тьма. Например, только за третий квартал 2016 года Huawei продала 33 миллиона смартфонов Honor, половина которых — с HiSilicon Balong на борту.



Порывшись в исходнике на основе VxWorks, Вайнман сумел разработать метод доступа к C-shell, встроенному интерпретатору C. Тот, правда, ничего особенного не дает делать, помимо вызова любых экспортированных функций. Но уже одно это позволило Вайнману снимать дамп памяти, модифицировать ее содержимое, запускать новые задачи, и загружать динамические модули ядра. В своем выступлении на конференции Infiltrate он продемонстрировал, как можно извне инициировать соединение, которое Android не увидит. Тааак, похоже, мой Honor 6c отправляется в помойку.



Атака, описанная Вайнманом, проводится через поддельную базовую станцию на основе OpenLTE, которая прикидывается реальной вышкой сотового оператора и отправляет на смартфон хитрые пакеты, переполняющие буфер в стеке LTE. В итоге Android крэшится, аппарат ребутится и заселяет на борт нового “постояльца” — бэкдора.



Теперь хорошая новость: это все еще LTE, то есть без обладания закрытым ключом оператора или без подмены ключа в SIM-карте БС не подделать. Пойду достану смартфон из помойки. Впрочем, это только цветочки: Вайнман утверждает, что САМОГО СТРАШНОГО он еще не рассказал. Ей Богу, как Сноуден. Просто хочет дать Huawei шанс исправить ошибки.



Мораль истории в том, что опен-сорс в аспекте информационной безопасности хорош там, где его легко пропатчить. А на смартфонах практика обратная: если вашему аппарату стукнул год, обновления вы, скорее всего, не дождетесь. Вот и не стоит вендору публиковать исходники и облегчать работу хакерам.



Компании сливают конфиденциальные данные через мультисканеры

Еще одна страшная новость с нашего SAS 2017. Как-то раз Маркус Найс из Swisscom AG натравил Yara на семплы, загруженные в VirusTotal. Абсолютно нормальное занятие, вот только он составил правила для поиска не малвари, а PGP-ключей. Обнаружив несусветное их количество, Маркус дополнил правила признаками конфиденциальных данных – TLP-метками уровней GREEN, AMBER и RED.



Первый улов его потряс: 60 писем от ФБР, 800 оповещений об информационных угрозах от Министерства внутренней безопасности США, три куртки импортных, учетные данные для VPN в ассортименте, приватные ключи SSH, масса внутрикорпоративной и даже государственной переписки. Вы спросите, откуда все это взялось на VirusTotal? Таки Маркус знает что сказать: слишком многие компании используют мультисканер как халявный антивирус, скидывая туда ВСЕ входящие документы. Ну, знаете, вдруг там малварь притаилась. Самое смешное, что среди семплов нашлись даже отчеты ИБ-подрядчиков о расследованиях киберинцидентов.



Вроде бы пока не очень страшно: ну льют все, что льется, на VirusTotal, no big deal. Однако же немалая доля пользователей сервиса может эти семплы скачивать. И качает ведь. Исследователь для проверки залил документ Microsoft Word с «канарейкой»-токеном, и в первые же два дня зафиксировал доступ из США, Германии, России и Польши.



Все это иначе как утечкой данных не назовешь, причем зачастую сливаются не свои данные, а информация клиентов и подрядчиков, а это совсем уже неприлично. По словам Нейса, особенно эту практику полюбили индийские IT-аутсорсеры – валят на VirusTotal и ему подобные сервисы все подряд. Вот так наймешь себе немного дешевых кодеров, а они твои данные всему миру явят… И наивно было бы думать, что черные дата-брокеры еще не обнаружили такую сытную кормушку.



Microsoft закрыла любимый зеродей Dridex

Есть и хорошие новости, и исследования. Только Dridex повадился заражать машины через уязвимость нулевого дня в MS Office, как Microsoft его взяла и закрыла! Буквально за три дня после обнаружения. Неясно, правда, как давно Dridex промышлял через этот баг. А последний, надо сказать, был сочный – позволял выполнять произвольный код, причем от жертвы требовалось лишь открыть документ с эксплойтом. Больше ничего жать не надо, ваш компьютер уже приняли в большую дружную ботосемью Dridex. В интернет-банк после этого лучше и не заглядывать – расстроитесь. Чуть погодя.



Механика работы эксплойта незамысловата. Жертва открывает RTF-документ со встроенным объектом OLE2link. Ворд послушно лезет в Интернет, куда указывает объект, тащит оттуда HTA-файл и скармливает его интерпретатору mshta.exe. VBScript внутри HTA, в свою очередь, скачивает троянца и устанавливает его, параллельно закрывая winword.exe и запуская его заново, но уже с другим документом. Это нужно, чтобы пользователь не успел увидеть сообщение от Word, создаваемое OLE2link.





А, да, чуть не забыл сказать, что Microsoft дыру закрыла, но как-то не до конца: пока есть патч только для Microsoft Office 2010, да и то, требующий SP2. При этом уязвимость актуальна вплоть до Office 2016. В качестве временного решения предлагается заблокировать RTF в Word и использовать Microsoft Office Protected View. Ну или предварительно высылайте все документы на VirusTotal (шутка:).



Древности



«Digger-1475»



Неопасный нерезидентный вирус. Зашифрован. Обходит дерево каталогов и стандартно записывается в COM- и EXE-файлы. Содержит текст «© DIGGER». Оставляет небольшую резидентную программу, которая периодически переворачивает экран вверх ногами.



Цитата по книге «Компьютерные вирусы в MS-DOS» Евгения Касперского. 1992 год. Страницa 64.



Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.
Original source: habrahabr.ru (comments, light).

https://habrahabr.ru/post/326554/

Метки:   Комментарии (0)КомментироватьВ цитатник или сообщество
all_andorra

“Andorra is covered by 4G and we are not in a hurry to launch 5G in the Principality”, – says the CEO of Andorra Telecom, Jordi Nadal

Четверг, 06 Апреля 2017 г. 20:58 (ссылка)

https://all-andorra.com/andorra-covered-4g-not-hur...o-andorra-telecom-jordi-nadal/

Комментарии (0)КомментироватьВ цитатник или сообщество

Следующие 30  »

<huawei - Самое интересное в блогах

Страницы: [1] 2 3 ..
.. 10

LiveInternet.Ru Ссылки: на главную|почта|знакомства|одноклассники|фото|открытки|тесты|чат
О проекте: помощь|контакты|разместить рекламу|версия для pda