في نهاية تشرين الثاني (نوفمبر) 2018 ،
طبعت المكاتب والطابعات المنزلية في جميع أنحاء العالم رسالة تحثهم على الاشتراك في PewDiePie YouTube. حدث ذلك ، بالطبع ، دون علم مالكي الطابعات ، وعلى الأرجح لم يكن لدى PewDiePie أي علاقة به. قام مهاجم يطلق على نفسه TheHackerGiraffe بمهاجمة أكثر من 50000 طابعة تم تكوينها ليكون بروتوكول الطباعة على الإنترنت وخدمات Line Printer Daemon متاحة من الإنترنت. تم تجميع قائمة الطابعات الضعيفة باستخدام محرك البحث المتخصص Shodan.io ، وكان الباقي مسألة تقنية.
لم ينتهِ الهجوم على الطابعات: تم اختراق أجهزة التلفاز الذكية في وقت لاحق ، ومؤخرًا ، كاميرات ويب Nest ، مع روابط مشابهة لـ PewDiePie. أدى هذا التعهد الذي لا معنى له عمومًا إلى ظهور
خدمة إجرامية بحتة لـ "تسويق حرب العصابات بالطابعة". دعنا نتحدث أكثر عن هذه الحوادث ، وفي نفس الوقت نناقش الاختلافات بين الباحثين الأمنيين الطبيعيين ومثل هؤلاء المخربين.
ظهرت رسالة مطبوعة على عشرات الآلاف من الطابعات حول العالم مثل هذا:
قام القراصنة الزرافة المسئولون عن القرصنة بمشاركة تفاصيل الهجوم على تويتر (تم حذف جميع الرسائل لاحقًا). قام بتحميل قائمة طابعات IP الضعيفة من Shodan إلى خادم سحابة بخمسة دولارات ، حيث استخدم مجموعة من البرامج مفتوحة المصدر لإرسال PDF لطباعة وعرض رسالة اختراق على شاشة الطابعة. بعد أسبوع واحد فقط من هذا الأداء ، اعترض باحثون من GreyNoise وثيقة أخرى ، تم إرسال طلب الطباعة الشامل من IP واحد ، مثل هذا:
عرضت الوثيقة خدمات "تسويق حرب العصابات" - تناظرية للإعلانات على الإسفلت ، فقط ، إذا جاز التعبير ، في الفضاء الرقمي. مثل هذه الأحداث يحدث في الواقع بشكل غير منتظم. يمكنك مقارنة حادثة الطابعة
بأمان أجهزة التوجيه - في حالتهم ، لا يتم عادةً اختراق القرصنة ، بل مجرد ربح هادئ. ومن المثير للاهتمام أن نفس "الزرافة" أوضحت للجمهور شروط الباحثين الأمنيين الشرفاء - مثل "تبلغ الجمهور" بمخاطر الأجهزة التي تم تكوينها بشكل غير صحيح. تم إطلاع الجمهور ، بالطبع ، ولكن في عالم مثالي ، يكمن الطريق إلى تحسين الأمان من خلال العمل مع الشركات المصنعة للطابعة ومثبتاتها - على الأقل من الجدير معرفة سبب اتضح أن خدمة الطباعة المحلية تتطلع إلى الويب.
واصلت حوادث مع ذكر مدون الفيديو PewDiePie البغيض هذا العام. في منتصف شهر يناير ، مع رسائل مماثلة تدعو إلى الاشتراك في YouTube ، تم
الهجوم على لعبة Atlas متعددة اللاعبين. وفي الأسبوع الماضي ،
نشرت Motherboard شريط فيديو حول اختراق كاميرات شبكة Nest. لم يتم استخدام الثغرات الأمنية في بنية Nest الأساسية. بدلاً من ذلك ، تم تطبيق طريقة حشو بيانات الاعتماد - محاولة لتحديد كلمة مرور لحسابك الشخصي استنادًا إلى قواعد البيانات المسربة. إذا كنت تتساءل عن كيفية استخدام كلمة المرور الخاصة بك بالضبط من
التسرب التالي ، فعلى سبيل المثال ، على هذا النحو. هذا ليس هجومًا واسع النطاق ، لكن القراصنة تمكنوا من القضاء على 300 حساب. يتيح لك الوصول إلى حساب Nest الخاص بك التحكم في أجهزة IoT المنزلية الخاصة بك ، ولا يمكنك فقط اعتراض تدفق الفيديو من الكاميرات ، ولكن أيضًا التواصل مع المالكين من خلالهم. الرسائل الصوتية شجعت على الاشتراك في ... حسنا ، أنت تفهم.
أخيرًا ، بعد حلول العام الجديد مباشرةً ، قام نفس "Giraffe-Hacker" بمسح الشبكة للبحث عن أجهزة غير محمية تدعم بروتوكول Chromecast أو أجهزة فك التشفير أو أجهزة التلفزيون الذكية نفسها. إجمالًا ، تم العثور على عشرات الآلاف من الأجهزة التي تم إرسال أمر عليها لتشغيل فيديو يدعو إلى كل شيء لنفسه. هناك استنتاجان من هذه القصص. أولاً ، يُنصح بعدم السماح بإخراج إنترنت الأشياء من الشبكة المحلية. هذه نصيحة ، نظرًا لأن قرار الاتصال بالخوادم الخارجية يتخذ عادة من قبل الشركة المصنعة للجهاز الذكي لك. ثانياً ، يمكن استخدام نشاط قرصنة مماثل لتدمير سمعة الأشخاص أو الشركات. تتمتع PewDiePie بسمعة مشكوك فيها ، لكن هذه ليست هي النقطة: بعد أعمال لا معنى لها من أجل العلاقات العامة ، يتم اعتماد الأساليب المكتشفة حديثًا عن طريق الجريمة. خاصة في غاية البساطة.
أخيرًا ، إليك موضوع آخر من Twitter. قرر الباحث إلقاء نظرة على كود أرشيف 7-zip المفتوح المصدر ، المسؤول عن إنشاء محفوظات محمية. لا يمكن فتح هذه المحفوظات إلا بكلمات مرور ، ويتم تشفير المحتويات باستخدام خوارزمية AES. في تعبيرات عاطفية للغاية ، يبلغ الباحث عما يلي: تنفيذ خوارزمية التشفير بعيدًا عن المثالية ، حيث يتم استخدام مولد أرقام عشوائية غير موثوق. بالإضافة إلى ذلك ، يتم التشكيك في موثوقية البرامج مفتوحة المصدر ككل - بعد كل شيء ، كانت الخوارزمية غير صحيحة في مرأى من الجميع. وتناقش صفات المطورين الذين يتحدثون عن "الخلفية" في نظام التشفير ، بدلاً من إضافة الكود الخاص بهم إلى المعايير الدنيا.
ولكن ، على عكس كل القصص السابقة ، يبدو أن هذا قد انتهى جيدًا:
أبلغ الباحث نفسه
عن خطأ للمطورين ومساعدتهم على إصلاح الموقف (وهو في الواقع ليس سيئًا للغاية). عند الحديث عن الأخلاقيات في مجال أمن المعلومات ، يجب ألا ننسى أن الناس مختلفون ، وأنهم يستجيبون للمشاكل المختلفة في حماية البرامج والأجهزة بطرق مختلفة ، بما في ذلك مثل هذا - غير مقيَّدين قليلاً. القرصنة الأخلاقية هي في المقام الأول رغبة في المساعدة في إصلاح الخلل أو الثغرة الأمنية. لكن استخدام نقاط الضعف لتنظيم المهرج على حساب الضحايا المطمئنين ليس أمرًا جيدًا.
إخلاء المسئولية: الآراء الواردة في هذا الملخص قد لا تتوافق دائمًا مع الموقف الرسمي لـ Kaspersky Lab. عزيزي المحررين يوصون عمومًا بمعالجة أي آراء بشك صحي.