Die nächste Black Hat / DEF CON-Doppelkonferenz fand letzte Woche in Las Vegas statt. Wenn sich die erste Veranstaltung reibungslos in Richtung einer geschäftlichen Rivalität bewegt, ist die zweite immer noch die beste Konferenz für Hacker (hauptsächlich im guten Sinne des Wortes), für die das Auffinden von Schwachstellen in Hardware und Software in erster Linie eine Kunst bleibt und erst danach - eine Möglichkeit, Geld zu verdienen fürs Leben. In einem Digest, der auf diesen beiden Konferenzen im letzten Jahr basiert, haben wir über Schwachstellen in veralteten VIA C3-Prozessoren, Supply-Chain-Angriffe auf Apple-Computer und über das Hacken eines unnötigen Wi-Fi SD-Adapters gesprochen.
Die diesjährige Agenda umfasste Angriffe auf Drucker, Bürotelefone und Kindertablets, eine halbrunde Umgehung des Gesichtserkennungssystems von Apple FaceID und (wer hätte das gedacht) eine Ransomware-Ransomware in der Canon-Kamera. Plus zwei, sagen wir, ein Kunstprojekt: Kabel für das iPhone mit einer Hintertür und Betrug auf einem intelligenten Heimtrainer. Schließlich eine interessante Studie über die Verwendung der DSGVO, um die persönlichen Daten einer anderen Person zu stehlen. Warten Sie, aber die DSGVO ist eine Gesetzgebung zum Schutz personenbezogener Daten? Das haben wir auch gedacht.
Hacken von Druckern, Bürotelefonen und Kindertablets
Beginnen wir mit einer relativ langweiligen Studie. Experten der NCC Group
fanden viele Sicherheitslücken in Bürodruckern, die von HP, Ricoh, Xerox, Lexmark, Kyocera und Brother hergestellt wurden. Das Ausmaß des Problems kann am Beispiel eines
Berichts für HP Drucker beurteilt werden: Es gibt Schwachstellen im IPP-Netzwerkdruckprotokoll, Pufferüberläufe im eingebetteten Webserver und Fehler, die zu standortübergreifenden Skriptangriffen führen. Mit den gefährlichsten Sicherheitslücken können Sie entweder einen DoS-Angriff organisieren oder beliebigen Code mit unverständlichen Konsequenzen ausführen.
Im vergangenen Jahr ereignete sich ein
Vorfall , der zeigte, was mit Druckern passiert, die a) ungeschützt und b) über das Internet zugänglich sind. Auf 50.000 Geräten druckte ein anonymer „Aktivist“ einen Anruf, um ein abscheuliches YouTube zu abonnieren. In der Studie der NCC Group gibt es einen Hinweis auf
weniger dumme, gefährlichere Angriffe, wenn der Drucker zu einem Einstiegspunkt für weitere Angriffe auf das Unternehmensnetzwerk werden kann.
Aber was ist, wenn Sie keine Drucker, sondern Bürotelefone verwenden? Diese Option wurde von einem McAfee-Vertreter untersucht. Er fand eine zehn Jahre alte Firmware in Avaya VoIP-Telefonen. Unter anderem hatte der in Telefonen verwendete dhclient-Client eine
seit 2009 bekannte Sicherheitslücke. Dieses Problem kann zu Pufferüberläufen führen, wenn der Subnetzmaskenparameter zu lang ist, um an den DHCP-Client übergeben zu werden, und wiederum besteht die theoretische Gefahr einer willkürlichen Codeausführung. Daher ist der Ansatz „Arbeiten - nicht anfassen“ auch bei relativ einfachen Geräten wie einem Bürotelefon nicht anwendbar. Obwohl die Sicherheitsanfälligkeit in dhclient ausgenutzt wird, wenn Sie Zugriff auf das lokale Netzwerk haben, lohnt es sich dennoch, den Patch auf den Telefonapparaten zu rollen. Müssen berühren!
Eine Studie mit LeapFrog LeadPad Ultimate-Kindertabletten ergab Schwachstellen in der Kindheit. Chekmarx-Experten zeigten, wie Sie Geräte mit leicht verfügbaren Tools lokalisieren und den Datenverkehr abfangen können. Das schwerwiegendste Problem wird durch die zusätzliche Anwendung Pet Chat verursacht, mit der Eltern mit ihren Kindern (oder Kindern, die miteinander kommunizieren können) über eine Reihe von Phrasen kommunizieren können, die mit dem Tablet „verbunden“ sind. Um eine Verbindung herzustellen, erstellt das Tablet einen offenen Zugangspunkt namens Pet Chat. Die Geolokalisierung einer bestimmten Anzahl von Tablets wurde in offenen Datenbanken von Wi-Fi-Zugangspunkten gefunden. Die Autorisierung des Paares "Eltern-Smartphone - Kinder-Tablet" ist nicht vorgesehen, sodass jeder in Reichweite des drahtlosen Netzwerks eine Verbindung zum Gerät herstellen kann. Wir müssen dem Hersteller Tribut zollen: Das Problem wurde schnell gelöst, indem die Anwendung aus dem öffentlichen Zugriff entfernt wurde. Oh ja, auf jeden Fall kommunizierte das Tablet über HTTP mit den Servern des Herstellers, was einen Man-in-the-Middle-Angriff ermöglichte:
Brille mit Klebeband, ein Trojaner in der Kamera, ein Kabel für das iPhone mit einer ÜberraschungKommen wir zu interessanteren, wenn auch weniger praktischen Themen für Präsentationen auf der Black Hat / DEF CON. Forscher der Firma Tencent zeigten (
Nachrichten , weitere
Nachrichten zu Habré) eine Möglichkeit, das FaceID-Gesichtserkennungssystem in Apple-Smartphones teilweise zu umgehen. FaceID ist sehr gut vor Versuchen geschützt, das Foto mit dem Foto des Besitzers zu entsperren oder wenn Sie beispielsweise das Telefon einer schlafenden Person bringen. Dazu wird ein dreidimensionales Modell des Gesichts erstellt und die Augenbewegung überwacht. Wenn der Benutzer jedoch eine Brille trägt, wird kein detailliertes 3D-Modell für diesen Teil des Gesichts erstellt - vermutlich, um Erkennungsprobleme zu vermeiden. In diesem Fall prüft das iPhone weiterhin, ob die Augen der Person geöffnet sind, und identifiziert die Schüler mit der Kamera. Da jedoch die Erkennungsqualität absichtlich beeinträchtigt wird, wurde der „Detektor für offene Augen“ mit Klebeband umgangen: Ein helles Quadrat auf dunklem Hintergrund, das auf die Linsen geklebt wird, wird vom Telefon als Pupille identifiziert.
Okay, dies ist eine coole Studie, aber in der Praxis ist es nur ein wenig einfacher, das Telefon eines anderen zu entsperren. Es ist notwendig, sich an den schlafenden Menschen anzuschleichen und ihm mit Klebeband eine Brille aufzusetzen. Oder nicht das angenehmste Szenario anzunehmen, in dem eine Person bewusstlos ist. In jedem Fall lohnt es sich, den Erkennungsalgorithmus zu verbessern: Auch wenn die Erstellung eines 3D-Modells mit Brille aus irgendeinem Grund nicht möglich ist, ist es in dieser Situation ratsam, die Qualität der Bildanalyse mit einer herkömmlichen Kamera zu verbessern.
Check Point Software hat
die Canon EOS 80D
gehackt . Warum eine Kamera? Weil sie konnten! Insgesamt wurden sechs Sicherheitslücken in der Kamera entdeckt, von denen die schwerwiegendste im PTP-Protokoll für die Kommunikation mit einem Computer vorhanden ist. Wie sich herausstellte, können Sie bei Anschluss an einen PC ein Firmware-Update des Geräts ohne Benutzerbestätigung starten. Durch erzwungenes Blinken konnten die Forscher einen echten Ransomware-Trojaner auf der Kamera installieren: Er verschlüsselt die Fotos auf der Speicherkarte und zeigt den Lösegeldbedarf auf dem Bildschirm an. Canon hat einen
Newsletter für Kamerabesitzer veröffentlicht (in dem es aus irgendeinem Grund keinen direkten Link zur neuen Firmware-Version gibt). Dem Bericht zufolge gibt es keine wirklichen Opfer, und es wird empfohlen, die Kamera nicht an fragwürdige Computer anzuschließen. In der Tat, wem würde es einfallen, eine Kamera anzugreifen?
Vice
schrieb über einen Aktivisten, der hausgemachte iPhone-Kabel mit integrierter Hintertür auf Black Hat verteilte (und für 200 US-Dollar verkaufte). Das Opfer dieses Kabels ist jedoch nicht das Telefon, sondern der Computer, an den das Gerät zur Synchronisierung angeschlossen ist (die Synchronisierung funktioniert auch, wenn dies funktioniert). Die Hintertür ist ein Wi-Fi-Zugangspunkt und anscheinend ein Tastaturemulator. Zu Beginn des Artikels haben wir den Begriff „Hacker“ in seiner positiven Bedeutung verwendet, aber dieses Experiment befindet sich sozusagen an der unteren Grenze des Positiven. Der Kabelersteller blieb anonym und verkaufte Kabel mithilfe von Lesezeichen im Konferenzbereich. Und er verkaufte erfolgreich alle zweihundert Stücke.
Schließlich wurde die News-Site The Register
durch eine Präsentation des Studenten der Universität Oxford, James Pavur, geehrt. Er führte ein soziales Experiment durch und sandte 150 Unternehmen die Verpflichtung, Informationen gemäß den Normen der europäischen Gesetzgebung der DSGVO bereitzustellen. Das Gesetz gibt den Benutzern das Recht, Informationen über sich selbst von Unternehmen zu erhalten, die personenbezogene Daten sammeln und verarbeiten. Eine wichtige Nuance der Geschichte ist, dass James keine Informationen über sich selbst, sondern über seine Braut angefordert hat. Von den 150 befragten Unternehmen beantworteten 72% die Anfrage.
Von diesen gaben 84% an, Informationen über die Braut des Forschers zu haben. Als Ergebnis erhielten wir eine Sozialversicherungsnummer, ein Geburtsdatum, einen Mädchennamen, eine Kreditkartennummer und teilweise die Wohnadresse. Ein Unternehmen, das Informationen über durchgesickerte Passwörter sammelte, schickte eine Liste mit Passwörtern für die E-Mail-Adresse. Und dies trotz der Tatsache, dass nicht alle Unternehmen der Bereitstellung von Daten zugestimmt haben: In 24% der Fälle reichten die E-Mail-Adresse und die Telefonnummer des (freiwilligen) Opfers zur Identifizierung aus, in 16% der Fälle war ein ID-Scan (leicht gefälscht) erforderlich, und weitere 3% der Unternehmen einfach alle Daten gelöscht, ohne sie bereitzustellen. Dieses Experiment soll die Vorteile der DSGVO nicht widerlegen. Vielmehr zeigt sich, dass Unternehmen nicht immer bereit sind, ihre neuen Verpflichtungen zu erfüllen, und es noch keine allgemein anerkannten Methoden zur Identifizierung von Benutzern gibt. Aber es wäre notwendig: Andernfalls führen Versuche, dem Gesetz zu folgen, zu einem völlig entgegengesetzten Effekt.
Bonusmaterial: Der Forscher Brad Dixon hat einen Weg gefunden, ein Heimtrainer mit integrierter Gamification auszutricksen (
Artikel in Vice, Projektwebsite). Mit Zwift-Simulatoren können Sie aus einem echten Fahrrad eine Raumversion für das Heimtraining machen, indem Sie das Hinterrad durch ein Modul ersetzen, das die Last liefert. Der Simulator wird mit einer Software für virtuelle Radtouren mit Aufzeichnungen und Wettbewerben geliefert. Zwift identifiziert einfache Betrüger (Schrauben eines Schraubenziehers an einen Simulator), daher musste Dixon den Schutz mit nicht trivialen Methoden umgehen: Signale von Sensoren abfangen, plausiblen Verkehr emulieren und so weiter. Infolgedessen wurden das Gaspedal (sehr schnell fahren) und der Tempomat (mit konstanter Geschwindigkeit fahren, die gefälschten Daten von den Sensoren leicht ändern) zum Simulator hinzugefügt. "Jetzt haben Sie die Möglichkeit, ohne Ihr Training zu unterbrechen, ein Bier oder etwas anderes zu trinken", kommentierte der Autor der Studie.
Haftungsausschluss: Die in dieser Übersicht geäußerten Meinungen stimmen möglicherweise nicht mit der offiziellen Position von Kaspersky Lab überein. Sehr geehrte Redakteure empfehlen generell, Meinungen mit gesunder Skepsis zu behandeln.