Konferensi ganda Black Hat / DEF CON berikutnya diadakan di Las Vegas minggu lalu. Jika acara pertama dengan lancar bergerak menuju persaingan bisnis, yang kedua masih merupakan konferensi terbaik untuk peretas (terutama dalam arti yang baik), bagi mereka yang menemukan titik lemah dalam perangkat keras dan perangkat lunak tetap merupakan seni, dan hanya setelah itu - cara untuk menghasilkan uang seumur hidup. Dalam intisari berdasarkan dua konferensi ini tahun lalu, kami
berbicara tentang kerentanan dalam prosesor VIA C3 yang sudah ketinggalan zaman, serangan rantai pasokan pada komputer Apple, dan tentang meretas adaptor Wi-Fi SD yang tidak perlu.
Agenda tahun ini termasuk serangan pada printer, telepon kantor dan tablet anak-anak, bypass setengah putaran sistem pengenalan wajah Apple FaceID dan (siapa sangka) ransomware-ransomware di kamera Canon. Ditambah dua, katakanlah, proyek seni: kabel untuk iPhone dengan pintu belakang dan selingkuh pada sepeda olahraga yang cerdas. Akhirnya, sebuah penelitian menarik tentang penggunaan GDPR untuk mencuri informasi pribadi orang lain. Tunggu, tetapi GDPR adalah undang-undang yang bertujuan melindungi data pribadi? Yah, kami juga berpikir begitu.
Meretas printer, telepon kantor, dan tablet anak-anak
Mari kita mulai dengan pelajaran yang relatif membosankan. Pakar NCC Group
menemukan banyak kelemahan pada printer kantor yang diproduksi oleh HP, Ricoh, Xerox, Lexmark, Kyocera dan Brother. Besarnya masalah dapat dinilai dengan contoh
laporan untuk printer HP: ada kerentanan dalam protokol pencetakan jaringan IPP, dan buffer overflows di server web tertanam, dan kesalahan yang mengarah pada serangan skrip lintas situs. Kerentanan paling berbahaya memungkinkan Anda mengatur serangan DoS, atau mengeksekusi kode arbitrer dengan konsekuensi yang tidak bisa dipahami.
Sebuah
insiden yang terjadi tahun lalu menunjukkan apa yang terjadi pada printer yang a) tidak terlindungi dan b) dapat diakses dari Internet. Pada 50 ribu perangkat, "aktivis" anonim mencetak panggilan untuk berlangganan satu YouTube najis. Dalam studi NCC Group, ada sedikit serangan yang
kurang bodoh, lebih berbahaya, ketika printer bisa menjadi titik masuk untuk serangan lebih lanjut pada jaringan perusahaan.
Tetapi bagaimana jika Anda menggunakan bukan printer, tetapi telepon kantor? Opsi ini
diselidiki oleh perwakilan McAfee. Dia menemukan firmware berumur sepuluh tahun di telepon VoIP Avaya. Antara lain, klien dhclient yang digunakan di ponsel memiliki kerentanan yang dikenal
sejak 2009 . Masalah ini dapat menyebabkan buffer overflows jika parameter subnet mask terlalu panjang untuk dilewatkan ke klien DHCP, dan, sekali lagi, ada bahaya teoretis dari eksekusi kode arbitrer. Jadi pendekatan "bekerja - jangan sentuh" tidak berlaku bahkan dalam kasus perangkat yang relatif sederhana seperti telepon kantor. Meskipun kerentanan dalam dhclient dieksploitasi jika Anda memiliki akses ke jaringan lokal, masih ada baiknya menggulung tambalan pada perangkat telepon. Perlu disentuh!
Sebuah studi tentang tablet anak-anak LeapFrog LeadPad Ultimate mengungkapkan kerentanan masa kecil. Pakar Chekmarx menunjukkan bagaimana Anda dapat menemukan perangkat menggunakan alat yang tersedia dan mencegat lalu lintas. Masalah yang paling serius disebabkan oleh aplikasi tambahan Pet Chat, yang memungkinkan orang tua untuk berkomunikasi dengan anak-anak (atau anak-anak untuk berkomunikasi satu sama lain) menggunakan satu set frase "kabel" ke dalam tablet. Untuk membuat koneksi, tablet membuat titik akses terbuka yang disebut Pet Chat. Geolokasi sejumlah tablet ditemukan di basis data terbuka titik akses Wi-Fi. Otorisasi dari pasangan "smartphone orangtua - tablet anak" tidak disediakan, sehingga siapa pun dalam jangkauan jaringan nirkabel dapat terhubung ke perangkat. Kami harus membayar upeti kepada pabrikan: masalah dengan cepat diselesaikan dengan menghapus aplikasi dari akses publik. Oh ya, dalam hal apa pun, tablet berkomunikasi dengan server pabrikan melalui HTTP, yang memungkinkan serangan Man-in-the-Middle:
Kacamata dengan pita listrik, trojan di kamera, kabel untuk iPhone dengan kejutanMari kita beralih ke topik yang lebih menarik, meskipun mungkin kurang praktis, untuk presentasi di Black Hat / DEF CON. Para peneliti dari perusahaan Tencent menunjukkan (
berita ,
berita lain tentang Habré) cara untuk memotong sebagian sistem pengenalan wajah FaceID di smartphone Apple. FaceID dilindungi dengan cukup baik dari upaya membuka kunci menggunakan foto pemilik, atau jika, misalnya, Anda membawa ponsel ke orang yang sedang tidur. Untuk ini, model wajah tiga dimensi dibuat dan gerakan mata dimonitor. Tetapi jika pengguna memakai kacamata, maka model 3D terperinci untuk bagian wajah ini tidak dibuat - mungkin untuk menghindari masalah pengenalan. Dalam hal ini, iPhone masih memeriksa apakah mata orang tersebut terbuka, mengidentifikasi murid dengan kamera. Tetapi karena kualitas pengenalannya sengaja dirusak, "detektor mata terbuka" dielakkan menggunakan pita listrik: kotak cahaya dengan latar belakang gelap, ditempelkan ke lensa, diidentifikasi oleh telepon sebagai murid.
Oke, ini adalah studi yang keren, tetapi dalam praktiknya hanya sedikit lebih mudah untuk membuka kunci ponsel orang lain. Penting untuk menyelinap ke atas orang yang tidur dan mengenakan kacamata dengan selotip listrik. Atau berasumsi bukan skenario yang paling menyenangkan di mana seseorang tidak sadar. Dalam kasus apa pun, algoritme pengenalan akan layak diperketat: bahkan jika membangun model 3D dengan kacamata tidak mungkin karena alasan tertentu, disarankan dalam situasi ini untuk meningkatkan kualitas analisis gambar dari kamera konvensional.
Check Point Software
meretas Canon EOS 80D. Kenapa harus kamera? Karena mereka bisa! Secara total, enam kerentanan ditemukan di kamera, dan yang paling serius ada dalam protokol PTP untuk berkomunikasi dengan komputer. Ternyata, saat terhubung ke PC, Anda dapat memulai pembaruan firmware perangkat tanpa konfirmasi pengguna. Melalui flashing paksa, para peneliti dapat menginstal trojan ransomware nyata pada kamera: mengenkripsi foto pada kartu memori dan menampilkan permintaan tebusan di layar. Canon telah merilis
buletin untuk pemilik kamera (di mana karena alasan tertentu tidak ada tautan langsung ke versi firmware baru). Laporan itu mengatakan bahwa tidak ada korban nyata dan disarankan untuk tidak menghubungkan kamera ke komputer yang dipertanyakan. Memang, kepada siapa akan terjadi serangan kamera?
Vice
menulis tentang seorang aktivis yang mendistribusikan (dan menjual seharga $ 200) kabel iPhone buatan sendiri dengan backdoor bawaan di Black Hat. Korban kabel ini, bukan telepon, tetapi komputer yang terhubung dengan perangkat untuk sinkronisasi (sinkronisasi, jika itu, juga berfungsi). Backdoor adalah titik akses Wi-Fi dan, tampaknya, emulator keyboard. Di awal artikel, kami menggunakan istilah "peretas" dalam arti positifnya, tetapi percobaan ini, bisa dikatakan, berada di batas bawah positif. Pembuat kabel tetap anonim, kabel yang dijual menggunakan bookmark di area konferensi. Dan dia berhasil menjual ke dua ratus keping itu.
Akhirnya, situs berita The Register
mendapat kehormatan dari presentasi oleh mahasiswa Universitas Oxford James Pavur. Dia melakukan eksperimen sosial, mengirim 150 perusahaan persyaratan untuk memberikan informasi sesuai dengan norma-norma undang-undang Eropa GDPR. Undang-undang memberi pengguna hak untuk menerima informasi tentang diri mereka dari perusahaan yang mengumpulkan dan memproses data pribadi. Nuansa sejarah yang penting adalah bahwa James tidak meminta informasi tentang dirinya sendiri, tetapi tentang mempelai wanita. Dari 150 perusahaan yang disurvei, 72% menjawab permintaan.
Dari jumlah tersebut, 84% mengakui bahwa mereka memiliki informasi tentang pengantin wanita peneliti. Sebagai hasilnya, kami menerima nomor jaminan sosial, tanggal lahir, nama gadis, nomor kartu kredit, dan sebagian alamat tempat tinggal. Satu perusahaan yang mengumpulkan informasi tentang kata sandi yang bocor mengirim daftar kata sandi untuk alamat email. Dan terlepas dari kenyataan bahwa tidak semua perusahaan setuju untuk memberikan data: dalam 24% kasus, alamat email dan nomor telepon korban (sukarela) sudah cukup untuk identifikasi, dalam 16% kasus diperlukan pemindaian ID (mudah dipalsukan), dan 3% perusahaan lainnya. baru saja menghapus semua data tanpa menyediakannya. Eksperimen ini tidak dimaksudkan untuk menyangkal manfaat GDPR. Sebaliknya, ini menunjukkan bahwa perusahaan tidak selalu siap untuk memenuhi kewajiban baru mereka, dan belum ada metode yang diterima secara umum untuk mengidentifikasi pengguna. Tetapi akan diperlukan: jika tidak, upaya untuk mengikuti hukum mengarah pada efek yang sangat berlawanan.
Materi Bonus: Peneliti Brad Dixon telah menemukan cara untuk mengelabui sepeda olahraga dengan gamifikasi bawaan (
artikel dalam Vice,
website proyek). Zwift simulator memungkinkan Anda untuk mengubah sepeda nyata menjadi versi ruang untuk latihan di rumah dengan mengganti roda belakang dengan modul yang menyediakan beban. Simulator ini dilengkapi dengan perangkat lunak untuk perjalanan sepeda virtual, dengan catatan dan kompetisi. Zwift mengidentifikasi penipu sederhana (memasang obeng ke simulator), jadi Dixon harus menghindari perlindungan menggunakan metode non-sepele: mencegat sinyal dari sensor, mengemulasi lalu lintas yang masuk akal, dan sebagainya. Akibatnya, pedal gas (melaju sangat cepat) dan cruise control (melaju dengan kecepatan konstan, sedikit mengubah data palsu dari sensor) ditambahkan ke simulator. "Sekarang Anda memiliki kesempatan, tanpa mengganggu pelatihan Anda, untuk minum bir atau untuk sesuatu yang lain," komentar penulis penelitian.
Penafian: Pendapat yang diungkapkan dalam intisari ini mungkin tidak sesuai dengan posisi resmi Kaspersky Lab. Para editor yang terhormat umumnya merekomendasikan untuk memperlakukan setiap pendapat dengan skeptis yang sehat.